ssh remote forwarding from the wild

[Pavel Kankovsky]

On Thu, 21 Dec 2017, Vláďa Macek wrote:

> obcas by clovek rad, aby k nemu SSH pomoci -R p1:localhost:p2 remotehost 
> dopravilo traffic z netu. Jenze na remotehost musi byt krome volby 
> GatewayPorts take otevreny port p1.

Port p1 si otevře samo sshd. Asi máte na mysli, že je potřeba, aby byl 
nejen otevřený, ale také k němu přístup neblokovaly různé firewally 
(počínaje tím lokálním).

> Takovy setup pripomina trvalou diru do trupu, ke ktere se jen obcas 
> zevnitr pripoji trubka.

Ovšem tady bez připojení trubky všechno odtéká neškodně do kanálu. 
Riziko spočívá v tom, že by se na tu díru mohla připojit špatná trubka...

> Mate na podobnou potrebu nekdo trip nebo nastroj, ktery by to udelal trosku
> bytelnejsi, vazane treba na uzivatele nebo na proces /usr/sbin/sshd nebo ... ?

Modul owner pro iptables sice funguje jen na odchozí pakety, ale mohlo by 
fungovat, že budete místo žádostí o navázání spojení blokovat až odpovědi 
na ně, což by navázání TCP spojení také bránilo.

Pokud máte SELinux a pohrajete si s jeho politikou, tak by možná šlo 
zařídit, aby určitý port by přístupný jen pro sshd a/nebo pro určitého 
uživatele (to první je asi jednodušší, protože si vystačí jen s TE, 
zatímco to druhé by asi potřebovalo UBAC).

-- 
Pavel Kankovsky aka Peak                      "Que sçay-je?"