Comment restreindre le trafic sortant ssh uniquement à certaines hôtes sans iptables

Ajoutez une route valide vers vos cibles et une route plus générique vers null. Ensuite, seules les routes définies vers vos cibles seront disponibles pour les utilisateurs. Le problème est que c'est disponible pour tous les utilisateurs

Vous pourriez utiliser quelque chose comme ceci

#! /bin/sh

MSG='********************************
1 = hôte1
2 = unautrehôte
3 = hôte3

0 = sortie
********************************'

hôte=aucun

while test aucun = "$hôte"
do
  echo "$MSG"
  echo -n 'votre choix: '
  read choix
  case "$choix" in
  1) hôte=hôte1.domain.com;;
  2) hôte=unautrehôte.xy.de;;
  3) hôte=juste.ici;;
  0) sortie;;
  esac
done

ssh $hôte

en tant que shell de connexion de vos utilisateurs ssh sur le saut de serveur. Si vous l'enregistrez sous /usr/bin/ssh-choice, n'oubliez pas d'ajouter /usr/bin/ssh-choice à /etc/shells.

TomTomTom

Je ne suis pas sûr de la configuration, mais peut-être désactiver la connexion shell sur l'hôte de saut et autoriser le transfert de port uniquement vers des hôtes spécifiques pour des utilisateurs spécifiques, puis utiliser l'option -J (ProxyJump) d'openssh pourrait être une solution ici? La directive Match du sshd_config pourrait être utile ici.

En réponse à un commentaire précédent :

Si vous avez besoin d'un accès shell, alors vous avez probablement besoin d'un fichier .ssh/config immuable et vide dans les répertoires home des utilisateurs, tous les hôtes autorisés répertoriés dans /etc/ssh/ssh_config et une directive Host de type catch all qui redirige vers une commande ProxyCommand toujours en échec (qui peut également afficher un message de coaching sur stderr, afin que l'utilisateur puisse le voir).

Quelque chose du genre :

Host host1 host1.example.com

Host host2 host2.example.net

Host *
    ProxyCommand /bin/false

Supprimez tout sauf le jumphost de la table de routage de l'hôte ou placez le pare-feu qui empêche les connexions ailleurs que sur l'hôte lui-même.