https://opennet.ru/openforum/vsluhforumID10/5383.html Всех приветствую. С тех пор как железный веб-сервер вырос до гипервизора с ворохом виртуалок столкнулся со следующей проблемой. Есть один внешний IP, который обрабатывает шлюз на FreeBSD. Во внутренней сети (за NAT) крутятся виртуалки с бэкендами на разных вариациях Linux. Если с HTTP всё понятно - на шлюзе делается фронтэнд с proxy_pass в nginx с указанием виртуалок с серыми IP, то как реализовать подобное с SSH (SFTP) и FTP? Допустим, использовать FTP в 2016-ом совсем некомильфо, но как решить проброс SSH-туннеля? Гугление показало вот такой способ: http://www.cyberciti.biz/faq/linux-unix-ssh-proxycommand-passing-through-one-host-gateway-server/ (с командой ProxyCommand), но для конечных пользователей он совершенно неудобен, да и не поддерживается FileZilla/WinSCP. То есть в идеале должен быть такой механизм:<br><br>[code]Пользователь -&gt; Шлюз -&gt; Виртуалка<br>10.20.30.40 77.50.40.30:22 192.168.1.105:22<br>#SSH login user a user a=192.168.1.105 SSH user a https://opennet.ru/openforum/vsluhforumID10/5383.html#8 Tue, 19 Jul 2016 08:20:49 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; <br>&gt; user b=192.168.1.110 <br>&gt; <br>&gt; <br>&gt; user c=192.168.1.115 <br>&gt; [/code] <br>&gt; Есть ли корректное (без тупого порт-форвардинга по скрипту) и безопасное (чтобы юзеры <br>&gt; не попадали на шлюз или другую виртуалку) решение? Уверен, что не <br>&gt; я один с таким сталкивался.<br><br>а с haproxy не работает(сам не проверял, нашел на просторах)?<br>к примеру:<br>listen SSHD :2200<br> mode tcp<br> acl is_apple hdr_dom i apple<br> acl is_orange hdr_dom -i orange<br> use_backend apple if is_apple<br> use_backend orange if is_orange<br><br>backend apple<br> mode tcp<br> server apple 10.0.3.221:22<br><br>backend orange<br> mode tcp<br> server orange 10.0.3.222:22<br> https://opennet.ru/openforum/vsluhforumID10/5383.html#7 Mon, 18 Jul 2016 12:03:30 GMT &gt; Напишите свой ssh клиент и прокси с шахматами и поэтессами :) <br><br>Вот это больше всего и удивляет. Казалось бы, ситуация вроде моей встречаются довольно часто, но нормального решения никто до сих пор не сделал. Вот те на.<br>Что ж, значит будем изобретать вел^W колхозить.<br> https://opennet.ru/openforum/vsluhforumID10/5383.html#6 Mon, 18 Jul 2016 11:48:55 GMT &gt;&gt; man ACL <br>&gt;&gt; man fail2ban <br>&gt;&gt; и еще с 10-к аналогичных продуктов <br>&gt; Не-не-не, мне Америку открывать не нужно, я и так в курсе существования <br>&gt; sshguard и прочих. Просто сама концепция горы открытых портов наружу меня <br>&gt; совсем не прельщает, а раздавать на каждого юзера белый список его <br>&gt; подсети с доступом к порту ещё более корявое решение. Хотя, видимо, <br>&gt; другого варианта просто нет.<br><br>Напишите свой ssh клиент и прокси с шахматами и поэтессами :)<br> https://opennet.ru/openforum/vsluhforumID10/5383.html#5 Sun, 17 Jul 2016 22:15:14 GMT <br>&gt; man ACL <br>&gt; man fail2ban <br>&gt; и еще с 10-к аналогичных продуктов <br><br>Не-не-не, мне Америку открывать не нужно, я и так в курсе существования sshguard и прочих. Просто сама концепция горы открытых портов наружу меня совсем не прельщает, а раздавать на каждого юзера белый список его подсети с доступом к порту ещё более корявое решение. Хотя, видимо, другого варианта просто нет.<br> https://opennet.ru/openforum/vsluhforumID10/5383.html#4 Sun, 17 Jul 2016 22:02:30 GMT <br>&gt; А без таких диких костылей? Это у меня, выходит, будет с десяток <br>&gt; SSH-портов смотреть в веб, откуда их будут брутить китайские ботнеты? Не <br>&gt; вариант.<br><br>man ACL<br>man fail2ban<br>и еще с 10-к аналогичных продуктов<br><br> https://opennet.ru/openforum/vsluhforumID10/5383.html#3 Sun, 17 Jul 2016 19:18:11 GMT а без костылей тут никак<br><br>если хочеш побыть пионЭром - http://www.opennet.ru/opennews/art.shtml?num=44659<br><br> https://opennet.ru/openforum/vsluhforumID10/5383.html#2 Sun, 17 Jul 2016 18:49:26 GMT &gt; Порт форвардинг на шлюзе.<br>&gt; 77.50.40.30:10005 --&gt; <br>&gt; 192.168.1.105:22 <br>&gt; 77.50.40.30:12005 --&gt; <br>&gt; 192.168.1.105:21 <br>&gt; + модуль для проксирования пассивных FTP соединений <br><br>А без таких диких костылей? Это у меня, выходит, будет с десяток SSH-портов смотреть в веб, откуда их будут брутить китайские ботнеты? Не вариант.<br><br>P.S. Мне на ум приходит разве что дублирование пользователей на шлюзе с запуском при коннекте SSH у них скрипта в home, который бы подцеплял по NFS домашнюю папку с виртуалки. Но это тоже костыль.<br> https://opennet.ru/openforum/vsluhforumID10/5383.html#1 Sun, 17 Jul 2016 12:03:07 GMT Порт форвардинг на шлюзе.<br><br>77.50.40.30:10005 --&gt; 192.168.1.105:22<br>77.50.40.30:12005 --&gt; 192.168.1.105:21<br><br>+ модуль для проксирования пассивных FTP соединений<br>