Beschränken Sie den SSH-Server-Tunneling-Port


0

Ich habe einen SSH-Server mit OpenSSH. Ich möchte damit einen SOCKS-Server einrichten, damit meine Freunde in China damit auf Websites wie Twitter zugreifen können. Ich möchte zwei Einschränkungen durchsetzen: 1. Kein Shell-Zugriff, 2. Nur Port 80 und 443 zulässig.

Meine Frage ist, wie man die zweite Beschränkung erzwingt? Ich habe versucht, die folgende Zeile in /home/tunuser/.ssh/authorized_keys einzufügen: permitopen = ": 80", permitopen = ": 443", no-pty ...

Ich verwende die Option ssh -D und der Browser verwendet den SOCKS-Proxy. Der SSH-Client hat sich erfolgreich angemeldet, aber mein Webbrowser kann keinen Tunnel herstellen. Die Fehlermeldung auf dem SSH-Server besagt, dass der Tunnel nicht zulässig ist.

Nachdem ich die beiden "allowopen" -Optionen entfernt habe, kann mein Browser erfolgreich browsen.

Unterstützt openssh "Nur Port einschränken, jeden Host zulassen"?

Antworten:


0

Leider ist es nicht möglich zu verwenden , wildcardinhostnames

No pattern matching is performed on the specified hostnames, 
they must be literal domains or addresses.

Manpage für permitopen

permitopen="host:port"
         Limit local ``ssh -L'' port forwarding such that it may only connect 
to the specified host and port.  IPv6 addresses can be specified by enclosing
the address in square brackets.  Multiple permitopen options may be applied 
separated by commas.  No pattern matching is performed on the specified                 
hostnames, they must be literal domains or addresses.  A port specification 
of * matches any port.

Ich möchte den Platzhalter auf dem Host, nicht den Port. Scheint, dass "*: 80" nicht funktioniert.
Wu Yongzheng

Ist deine OpenSSHVersion 6.0?
Clement

Es ist 6.2p2 auf Fedora 19 x 64.
Wu Yongzheng

Sorry Kumpel, lies einfach das man, es ist nicht möglich. Antwort editiert.
Clement

Ja, und es gibt noch etwas: "Mehrere allowopen-Optionen können durch Kommas getrennt angewendet werden", was im OP falsch ist
Daniel Alder,
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.