Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как
универсальное решение для организации туннелей внутрь локальной сети для
доступа к различным сервисам.
И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля".
Например:
есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ
к серверу web-server.dmz по портам 80 и 443.
Решение:
на сервере ssh, через который создаётся туннель, выполняем:
1) добавляем пользователя aaa
2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться)
3) Добавляем правила iptables:
iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT
iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT
Комментариев нет:
Отправить комментарий