web-dev-qa-db-fra.com

Tunnel SSH à travers l'hôte Bastion

J'ai un problème avec la création d'un tunnel SSH via un hôte de bastion.

Après avoir examiné diverses questions du SE qui résolvent potentiellement le problème, rien n'a.

Mon fichier de configuration SSH (local)

Host www
    HostName ***
    IdentityFile ~/.ssh/key.pem
    ProxyCommand ssh root@bastion -W %h:%p

Host bastion
    HostName ***
    IdentityFile ~/.ssh/key.pem
    StrictHostKeyChecking      no
    ProxyCommand               none
    ForwardAgent               yes

J'ai ajouté les options de configuration nécessaires sur le serveur Bastion (/ etc/ssh/sshd_config):

PermitTunnel yes
AllowTCPForwarding yes
PermitOpen any
TCPKeepAlive yes

Mais je reçois l'erreur suivante:

OpenSSH_7.2p2 Ubuntu-4ubuntu2.4, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: /etc/ssh/ssh_config line 59: Applying options for www
debug1: Executing proxy command: exec ssh root@bastion -W ****:22
debug1: permanently_set_uid: 0/0
debug1: permanently_drop_suid: 0
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem type -1
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote Host

Il existe une mise en garde avec cette configuration en ce que l'hôte cible (www) est dans une VPC AWS et n'est adressable que du bastion. Mon hypothèse est que cela ne devrait pas être un problème car le routage est fait du bastion, mais c'est ma dernière pensée comme étant la question dans ce scénario.

linuxsshamazon-web-servicesbastion
3
Nick

C'est plutôt ennuyeux. Il s'avère que l'AWS AMI désactive le transfert de port dans son autorisé_keys! C'était un délicat pour déboguer lorsque tout dans la configuration SSHD a l'air correct.

~/.SSH/Authorisé_keys

no-port-forwarding,no-agent-forwarding,no-X11-forwarding
1
Nick