У мене є сервер під управлінням Ubuntu і демон OpenSSH. Назвемо це S1.
Я використовую цей сервер від клієнтських машин (назвемо один з них C1), щоб зробити зворотний тунель SSH за допомогою віддаленої переадресації портів, наприклад:
ssh -R 1234:localhost:23 login@S1
На S1 я використовую за замовчуванням файл sshd_config. З того, що я бачу, кожен, хто має правильні облікові дані {login, pwd} на S1, може увійти в S1, або зробити віддалене переадресацію портів та переадресацію локальних портів. Такі дані можуть стати сертифікатом у майбутньому, тому, наскільки я розумію, кожен, хто захопить сертифікат, може увійти до S1 з будь-якого місця (не обов'язково C1) і, отже, створити локальну переадресацію порту.
Для мене дозволити переадресацію локальних портів занадто небезпечно, оскільки це дозволяє створити якийсь загальнодоступний проксі. Я шукаю спосіб відключити лише переадресацію -L.
Я спробував таке, але це вимикає і локальне, і віддалене переадресація:
AllowTcpForwarding No
Я також спробував наступне, це дозволить лише -L до SX: 1. Це краще, ніж нічого, але все ж не те, що мені потрібно, а це варіант "жоден".
PermitOpen SX:1
Тож мені цікаво, чи є спосіб, щоб я заборонив усім місцевим портам форвард писати щось на кшталт:
PermitOpen none:none
Це приємна ідея?
PermitOpen localhost:1