SSH a máquinas DMZ tras bastión
Buenas * Mi red tiene la topología siguiente: Bastión # IP pública | Segmento LAN # 192.168.0.x | Segmento DMZ # 192.168.1.x * El tema es que en las máquinas DMZ tengo un FTP (o lo tendré en breve si no hay problemas con iptables); y me interesa que se pueda gestionar remotamente desde SSH. Pero claro, la máquina está detrás del bastión. * ¿Cuál sería la manera? Yo había pensado habilitar ssh en el bastión y, una vez ahí, dar el "salto" a la máquina en cuestión. * ¿Se podría también hacer "directamente"? Es decir, usar DNAT (como haré con el ftp) para redireccionar todo lo que llegue al bastión por el puerto 22 hacia la máquina en cuestión. Aunque claro, de esta manera me quedo sin ssh para el bastión y las demás máquinas (a no ser que cambie los puertos por defecto y me dedique a redireccionarlos todos...) ¿Qué hariaís vosotros? -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/
Historiadores creen que en la fecha Mon, 14 Mar 2005 17:12:40 +0100
Aquiles
Buenas
* Mi red tiene la topología siguiente:
Bastión # IP pública | Segmento LAN # 192.168.0.x | Segmento DMZ # 192.168.1.x
* El tema es que en las máquinas DMZ tengo un FTP (o lo tendré en breve si no hay problemas con iptables); y me interesa que se pueda gestionar remotamente desde SSH. Pero claro, la máquina está detrás del bastión.
* ¿Cuál sería la manera? Yo había pensado habilitar ssh en el bastión y, una vez ahí, dar el "salto" a la máquina en cuestión. * ¿Se podría también hacer "directamente"? Es decir, usar DNAT (como haré con el ftp) para redireccionar todo lo que llegue al bastión por el puerto 22 hacia la máquina en cuestión. Aunque claro, de esta manera me quedo sin ssh para el bastión y las demás máquinas (a no ser que cambie los puertos por defecto y me dedique a redireccionarlos todos...)
¿Qué hariaís vosotros?
se tienes solamente una ip publica... la segunda manera es mas factible, pues del contrario, tendras que duplicar los usuarios entre las maquinas (se utilizas un sistema de autentificacion centralizado, LDAP por ejemplo, esto no seria problema).. con el otro metodo, los usuarios tendrian que conectarse dos veces y algunos pueden que reclame.. mmm... haga el nat para el ssh y cambie el puerto del ssh en el cortafuegos. -- (@- Victor Hugo dos Santos //\ Linux Counter #224399 V_/_ Puerto Montt - Chile ==== http://www.hospitalityclub.org/ Debe crear problemas para los cuales solo usted tiene la solución. -- Corolario de Burke.
Aquiles wrote:
Buenas
* Mi red tiene la topología siguiente:
Bastión # IP pública | Segmento LAN # 192.168.0.x | Segmento DMZ # 192.168.1.x
* El tema es que en las máquinas DMZ tengo un FTP (o lo tendré en breve si no hay problemas con iptables); y me interesa que se pueda gestionar remotamente desde SSH. Pero claro, la máquina está detrás del bastión.
* ¿Cuál sería la manera? Yo había pensado habilitar ssh en el bastión y, una vez ahí, dar el "salto" a la máquina en cuestión. * ¿Se podría también hacer "directamente"? Es decir, usar DNAT (como haré con el ftp) para redireccionar todo lo que llegue al bastión por el puerto 22 hacia la máquina en cuestión. Aunque claro, de esta manera me quedo sin ssh para el bastión y las demás máquinas (a no ser que cambie los puertos por defecto y me dedique a redireccionarlos todos...)
¿Qué hariaís vosotros?
Hola, Yo tengo implementado el segundo sistema, y me va bien, luego para acceder al bastion lo hago desde dentro, es decir, traslado el puerto 22 a la maquina en cuestion, pero solo traslado el interfaz externo, una vez dentro de la maquina interna puede hacer ssh al bastión sin problemas. A mi esta configuracion me va bien porque al bastion no entro casi nunca, solo para alguna labor de mantenimiento. Salu2 Emiliano Sutil
El 2005-03-14 a las 17:12 +0100, Aquiles escribió:
* ¿Cuál sería la manera? Yo había pensado habilitar ssh en el bastión y, una vez ahí, dar el "salto" a la máquina en cuestión. * ¿Se podría también hacer "directamente"? Es decir, usar DNAT (como haré con el ftp) para redireccionar todo lo que llegue al bastión por el puerto 22 hacia la máquina en cuestión. Aunque claro, de esta manera me quedo sin ssh para el bastión y las demás máquinas (a no ser que cambie los puertos por defecto y me dedique a redireccionarlos todos...)
¿Qué hariaís vosotros?
Lo que creo se suele hacer es habilitar ssh en una maquina, o bien en el bastión, o en otra maquina por redirección, y desde ahí volver a hacer ssh via intranet hacia la maquina destinataria. De esa manera no te limitas a entrar en una única máquina. La maquina de entrada suele estar bastante restringida: verifica la IP de origen, rbash, logins rotativos... -- Saludos Carlos Robinson
participants (4)
-
Aquiles
-
Carlos E. R.
-
Emiliano Sutil
-
Victor Hugo dos Santos