The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Фронтэнд-туннелирование SSH и FTP?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Фронтэнд-туннелирование SSH и FTP?"  –1 +/
Сообщение от Ex Nihilo (ok) on 17-Июл-16, 12:57 
Всех приветствую. С тех пор как железный веб-сервер вырос до гипервизора с ворохом виртуалок столкнулся со следующей проблемой. Есть один внешний IP, который обрабатывает шлюз на FreeBSD. Во внутренней сети (за NAT) крутятся виртуалки с бэкендами на разных вариациях Linux. Если с HTTP всё понятно - на шлюзе делается фронтэнд с proxy_pass в nginx с указанием виртуалок с серыми IP, то как реализовать подобное с SSH (SFTP) и FTP? Допустим, использовать FTP в 2016-ом совсем некомильфо, но как решить проброс SSH-туннеля? Гугление показало вот такой способ: http://www.cyberciti.biz/faq/linux-unix-ssh-proxycommand-pas.../ (с командой ProxyCommand), но для конечных пользователей он совершенно неудобен, да и не поддерживается FileZilla/WinSCP. То есть в идеале должен быть такой механизм:

Пользователь     ->     Шлюз          ->           Виртуалка
10.20.30.40             77.50.40.30:22             192.168.1.105:22
#SSH login user a       user a=192.168.1.105       SSH user a
                        user b=192.168.1.110
                        user c=192.168.1.115

Есть ли корректное (без тупого порт-форвардинга по скрипту) и безопасное (чтобы юзеры не попадали на шлюз или другую виртуалку) решение? Уверен, что не я один с таким сталкивался.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от universite (ok) on 17-Июл-16, 15:03 
Порт форвардинг на шлюзе.

77.50.40.30:10005 -->              192.168.1.105:22
77.50.40.30:12005 -->              192.168.1.105:21

+ модуль для проксирования пассивных FTP соединений

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от Ex Nihilo (ok) on 17-Июл-16, 21:49 
> Порт форвардинг на шлюзе.
> 77.50.40.30:10005 -->          
>    192.168.1.105:22
> 77.50.40.30:12005 -->          
>    192.168.1.105:21
> + модуль для проксирования пассивных FTP соединений

А без таких диких костылей? Это у меня, выходит, будет с десяток SSH-портов смотреть в веб, откуда их будут брутить китайские ботнеты? Не вариант.

P.S. Мне на ум приходит разве что дублирование пользователей на шлюзе с запуском при коннекте SSH у них скрипта в home, который бы подцеплял по NFS домашнюю папку с виртуалки. Но это тоже костыль.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от vvp (??) on 17-Июл-16, 22:18 
а без костылей тут никак

если хочеш побыть пионЭром - http://www.opennet.dev/opennews/art.shtml?num=44659

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от universite (ok) on 18-Июл-16, 01:02 

> А без таких диких костылей? Это у меня, выходит, будет с десяток
> SSH-портов смотреть в веб, откуда их будут брутить китайские ботнеты? Не
> вариант.

man ACL
man fail2ban
и еще с 10-к аналогичных продуктов

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от Ex Nihilo (ok) on 18-Июл-16, 01:15 

> man ACL
> man fail2ban
> и еще с 10-к аналогичных продуктов

Не-не-не, мне Америку открывать не нужно, я и так в курсе существования sshguard и прочих. Просто сама концепция горы открытых портов наружу меня совсем не прельщает, а раздавать на каждого юзера белый список его подсети с доступом к порту ещё более корявое решение. Хотя, видимо, другого варианта просто нет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от universite (ok) on 18-Июл-16, 14:48 
>> man ACL
>> man fail2ban
>> и еще с 10-к аналогичных продуктов
> Не-не-не, мне Америку открывать не нужно, я и так в курсе существования
> sshguard и прочих. Просто сама концепция горы открытых портов наружу меня
> совсем не прельщает, а раздавать на каждого юзера белый список его
> подсети с доступом к порту ещё более корявое решение. Хотя, видимо,
> другого варианта просто нет.

Напишите свой ssh клиент и прокси с шахматами и поэтессами :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Фронтэнд-туннелирование SSH и FTP?"  –1 +/
Сообщение от Ex Nihilo (ok) on 18-Июл-16, 15:03 
> Напишите свой ssh клиент и прокси с шахматами и поэтессами :)

Вот это больше всего и удивляет. Казалось бы, ситуация вроде моей встречаются довольно часто, но нормального решения никто до сих пор не сделал. Вот те на.
Что ж, значит будем изобретать вел^W колхозить.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фронтэнд-туннелирование SSH и FTP?"  +/
Сообщение от alololololo on 19-Июл-16, 11:20 
>[оверквотинг удален]
>            
>            
>  user b=192.168.1.110
>            
>            
>  user c=192.168.1.115
>
> Есть ли корректное (без тупого порт-форвардинга по скрипту) и безопасное (чтобы юзеры
> не попадали на шлюз или другую виртуалку) решение? Уверен, что не
> я один с таким сталкивался.

а с haproxy не работает(сам не проверял, нашел на просторах)?
к примеру:
listen SSHD :2200
    mode tcp
    acl is_apple hdr_dom i apple
    acl is_orange hdr_dom -i orange
    use_backend apple if is_apple
    use_backend orange if is_orange

backend apple
    mode tcp
    server apple 10.0.3.221:22

backend orange
    mode tcp
    server orange 10.0.3.222:22

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру