मुझे SSH सुरंग कार्यों को प्रतिबंधित करने की आवश्यकता है। उपयोगकर्ताओं को दूरस्थ सुरंगों को बनाने की अनुमति नहीं दी जानी चाहिए, लेकिन लोकलहोस्ट को केवल सुरंगें। मैंने SSH कॉन्फ़िगरेशन में पूरी चीज़ को सेटअप करने की कोशिश की, लेकिन मैं केवल TCPForwarding को पूरी तरह से बंद कर सकता हूं। मुझे लगता है कि यह केवल iptables के साथ तब संभव हो सकता है? क्या किसी के पास अनुभव है और मेरी मदद कर सकता है?
जवाबों:
ओपनएसएसएच के लिए आप उन PermitOpen host:portसीमाओं का उपयोग कर सकते हैं जहां उपयोगकर्ता सुरंग कर सकते हैं। उन्हें MySQL के लिए सुरंग बनाने के लिए जो केवल डिफ़ॉल्ट पोर्ट पर स्थानीय रूप से सुनता है:
PermitOpen LocalHost:3306
Sshd_config के मैन पेज से:
PermitOpen
उन गंतव्यों को निर्दिष्ट करता है जिनमें टीसीपी पोर्ट अग्रेषण की अनुमति है। अग्रेषण विनिर्देश निम्नलिखित रूपों में से एक होना चाहिए:
PermitOpen host:port PermitOpen IPv4_addr:port PermitOpen [IPv6_addr]:portसफेद स्थान के साथ उन्हें अलग करके एकाधिक आगे निर्दिष्ट किया जा सकता है। किसी भी तर्क को सभी प्रतिबंधों को हटाने और किसी अग्रेषण अनुरोध को अनुमति देने के लिए उपयोग किया जा सकता है। सभी अग्रेषण अनुरोधों को प्रतिबंधित करने के लिए किसी के तर्क का उपयोग नहीं किया जा सकता है। डिफ़ॉल्ट रूप से सभी पोर्ट अग्रेषण अनुरोधों की अनुमति है।
PermitOpen localhost:*