如何禁用SSH本地端口转发？

我有一台运行Ubuntu和OpenSSH守护程序的服务器。我们称它为S1。

我使用客户端计算机上的该服务器（我们称它们为C1之一）通过使用远程端口转发来建立SSH反向隧道，例如：

ssh -R 1234:localhost:23 login@S1

在S1上，我使用默认的sshd_config文件。据我所知，任何在S1上具有正确凭据{login，pwd}的人都可以登录S1并进行远程端口转发和本地端口转发。这样的凭证将来可能会成为证书，因此据我了解，任何持有证书的人都可以从其他任何地方（不一定是C1）登录到S1，从而创建本地端口转发。

对我来说，允许本地端口转发太危险了，因为它允许创建某种公共代理。我正在寻找一种方法来仅禁用-L转发。

我尝试了以下操作，但是这同时禁用了本地和远程转发：

AllowTcpForwarding No

我也尝试了以下方法，这将只允许-L到SX：1。总比没有好，但仍然不是我需要的，这是“无”选择。

PermitOpen SX:1

所以我想知道是否有办法，这样我就可以禁止所有本地端口转发写类似这样的东西：

PermitOpen none:none

以下是一个好主意吗？

PermitOpen localhost:1

具有登录凭据的任何人都可以打开自己的sshd实例，在随机端口上运行，并允许他们想要的任何内容，包括-L本地转发：

% /usr/sbin/sshd -d -f mysshd.config -p 12345

如果您不信任用户对您的计算机执行某些操作，则不应该允许他们首先登录。

（顺便说一句，-D标志也属于“代理问题”）

另一个解决方案是仅允许将端口转发给特定用户：

从SSH：权威指南

可以在sshd中全局启用或禁用端口转发。这是通过/ etc / sshd_config中的服务器范围配置关键字AllowTcpForwarding完成的。关键字的值可以是yes（默认值，启用转发）或no（禁用转发）：

# SSH1, SSH2, OpenSSH
AllowTcpForwarding no

此外，SSH2具有以下选项：

# SSH2 only
AllowTcpForwardingForUsers
AllowTcpForwardingForGroups

它们的语法与AllowUsers和AllowGroups选项的语法相同。[第5.5.2.1节“帐户访问控制”]他们指定了允许使用端口转发的用户或组的列表。服务器拒绝接受其他任何人的端口转发请求。请注意，这些是指SSH会话的目标帐户，而不是客户端用户名（通常不知道）。

...

重要的是要意识到，本节中的指令实际上并不会阻止端口转发，除非您还禁用了交互式登录并限制了可以在远程端运行的程序。否则，有知识的用户可以通过SSH会话简单地运行自己的端口转发应用程序。仅在非技术社区中，这些设置就足以起到威慑作用，但它们并不能阻止知道她在做什么的人。

现在有一个选项仅允许本地/远程转发。

AllowTcpForwarding 指定是否允许TCP转发。可用选项包括“是”或“全部”以允许TCP转发，“否”以阻止所有TCP转发，“本地”仅允许本地（从ssh（1）角度）转发，或“远程”以允许远程转发。 仅转发。默认值为“是”。请注意，除非拒绝用户访问外壳程序，否则禁用TCP转发不会提高安全性，因为用户始终可以安装自己的转发器。

因此，如上所述，您也应该将shell设置为nologin。

我对这个问题的解决方案是在sshd_config的主要部分中添加： PermitOpen fo.local：80。

这只是拒绝fo.local：80之外的任何本地转发请求。

我正在寻找一种方法来仅禁用-L转发

如果我理解正确，则您的用户具有完全的外壳访问权限，但您不希望他们能够打开与网络其余部分的连接。

SSH允许的“本地端口转发”只是实现此目的的一种可能方式。其他包括启动的实例socat，netcat或任何其他一些工具。

在Linux中控制传出和传入连接的最佳方法是Netfilter，也就是IPTables。

它有一个称为owner（ipt_owner）的特殊模块，它允许您为本地生成的数据包匹配数据包创建者的各种特征。在OUTPUT和POSTROUTING链中有效。

您可以使用它拒绝某些用户组生成的传出数据包，从而禁止任何类型的端口转发，而不仅仅是-LSSH选项。