Pagina 1 di 1

ssh port forwarding && permettere una sola porta ad un ip

Inviato: mar 22 feb 2011, 15:00
da tgmx
Ciao ragazzi,

sono di nuovo a parlare di ssh e port forwarding.
Avvio il port forwarding dal mio pc con:
ssh -L 33333:localhost:3306 sshuser@ip_server_ssh -N -f

in questo modo posso connettermi al mysql che gira sul server_ssh dal mio pc con:
mysql -P33333 -u root -p -h 127.0.0.1

Ora sto cercando di capire come bloccare il forwarding di alcune porte per alcuni ip.

Mi spiego meglio; quando mi connetto al mysql del server_ssh come ho fatto sopra, il server vede quella come una connessione da localhost indipendentemente da quale sia l'ip del mio pc da cui mi connetto. Questo mi impedisce di filtrare gli ip con iptables. Io invece vorre che l'ip di casa mia fosse autorizzato a fare il forward sulla porta 3306 del server_ssh mentre altri no anche se in possesso delle credenziali dell'utente sshuser.

Avete idee...?

Re: ssh port forwarding && permettere una sola porta ad un i

Inviato: mar 22 feb 2011, 19:44
da tgmx
Ho scoperto che c'è questa possibilità utilizzando l'autenticazione tramite chiave pubblica/privata al posto della password.
In questo modo, dopo aver sistemato opportunamente le chiavi nel server e nel client basta editare il file $HOME/.ssh/authorized_keys e mettere davanti a tutto in quel file (prima della chiave) il comando:
permitopen="host:port"

In questo modo si consente il forwarding all'host "host" verso la porta "port" .

PS:
Tempo fa però Slacky era più attiva... :D

Re: ssh port forwarding && permettere una sola porta ad un i

Inviato: mar 22 feb 2011, 22:21
da ZeroUno
okkio che l'utente sshuser tipicamente ha i permessi di modificare l'authorized_keys