El 2005-03-14 a las 17:12 +0100, Aquiles escribió:
* ¿Cuál sería la manera? Yo había pensado habilitar ssh en el bastión y, una vez ahí, dar el "salto" a la máquina en cuestión. * ¿Se podría también hacer "directamente"? Es decir, usar DNAT (como haré con el ftp) para redireccionar todo lo que llegue al bastión por el puerto 22 hacia la máquina en cuestión. Aunque claro, de esta manera me quedo sin ssh para el bastión y las demás máquinas (a no ser que cambie los puertos por defecto y me dedique a redireccionarlos todos...)
¿Qué hariaís vosotros?
Lo que creo se suele hacer es habilitar ssh en una maquina, o bien en el bastión, o en otra maquina por redirección, y desde ahí volver a hacer ssh via intranet hacia la maquina destinataria. De esa manera no te limitas a entrar en una única máquina. La maquina de entrada suele estar bastante restringida: verifica la IP de origen, rbash, logins rotativos... -- Saludos Carlos Robinson