IPへのSSHトンネリングをブロックし、特定のユーザーのみを許可する

Question

ポート555で特定のIPへのすべてのアクセスをブロックするようにSSHを設定する必要があります。少数のユーザーグループのみがそのIPへのトンネリングを許可する必要があります。現在、sshd_configには次のものがあります

Match User bob PermitOpen 1.2.3.4:555 5.6.7.8:555

私が持っている質問は、他のすべてのユーザーがこのトンネルにアクセスすることをどのように拒否するかです。 sshd_configにdenyopenまたはrestrictopenが表示されません。

MadHatter · Accepted Answer

SSHボックスのファイアウォールでそれを行うことができます：

iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -m owner --uid-owner bob -j ACCEPT iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -j REJECT

Lekensteyn · Answer

デフォルトですべてのユーザーに対してTcpForwardingを無効にします。

AllowTcpForwarding No

そして、ユーザーbobの例外を作成します。

Match User bob AllowTcpForwarding Yes PermitOpen 1.2.3.4:555 5.6.7.8:555