У нас есть кластер (в настоящее время 10 машин) за NAT. Между частной сетью и обычной сетью компании есть NAT-шлюз/jump-хост.
Пользователи могут ssh
подключиться к jump-host, а затем получить доступ к любой другой машине за NAT.
Я хотел бы предоставить простой сценарий, который поможет им туннелировать веб-интерфейсы за NAT на свои локальные машины.
Моим первым предложением было: использовать SSH socks-прокси и туннелировать интерфейсы на их локальный хост.
Итак, мой вопрос: если я создам эти два туннеля (один от локального компьютера моих коллег к джамп-хосту, а другой — от джамп-хоста к соответствующей машине за NAT) — насколько безопасно это туннель?
Представьте себе worker1
, который делает следующее:
ssh -t user@jumphost.tld -L 10001:localhost:33388 ssh -t hostxyz.behindnat.tld
На машине jump-host есть открытый порт 33388, который прослушивает петлевой интерфейс. Если worker2
просто заходит на jump-host и использует локальный порт 33388 для уже туннелированного соединения, он не должен повторно аутентифицироваться на hostxyz.behindnat.tld
, верно?
Мне кажется, это огромная брешь в системе безопасности, есть ли решение получше?