Progetto

Generale

Profilo

Accesso SSH via bastion host a reti private » Cronologia » Versione 1

Simone Piccardi, 21-07-2020 12:17

1 1 Simone Piccardi
h1. Accesso SSH a reti interne tramite bastion host
2
3
Esistono diversi casi in cui può essere necessario fornire a singoli utenti un accesso con SSH a delle macchine disposte in una rete interna, e non si vuole fornire un accesso generico con una VPN, ma solo un collegamento SSH verso una singola macchina. Per ottenere questo risultato si può sfruttare, posto che sia raggiungibile con SSH, un firewall (o in generale un bastion host che si affacci su detta rete) appoggiandosi ad una delle funzionalità avanzate del servizio, il cosiddetto "Proxy Jump", introdotto con OpenSSH 7.3 (rilasciata nell'agosto 2016) e ormai disponibile su tutte le distribuzioni recenti.
4
5
Questa funzionalità prevede che si possa, passando attraverso una macchina a cui si ha accesso in SSH (che farà da proxy), avere un reinoltro in maniera trasparente della connessione SSH verso un'altra macchina da questa raggiungibile. 
6
7
In questo modo si può effettuare una connessione verso un IP di una rete interna avendo cura di indicare qual è la macchina che si intende usare come proxy con l'opzione @-J@.  Solo quest'ultimaa dovrà essere raggiungibile da Internet, ma passando attraverso di essa ci si potrà collegare utilizzando direttamente l'indirizzo interno (o un nome a piacere, come vedremo più avanti). 
8
9
!bastion.png!
10
11
Uno schema elementare della rete è quello illustrato in figura, per collegarsi alla macchina server sull'indirizzo interno @192.168.42.105), si potrà allora utilizzare il comando:
12
13
<pre>
14
ssh -J utenteX@bastion.truelite.it utenteY@192.168.42.105
15
</pre>
16