ssh *リモート*ポート転送を制限するにはどうすればよいですか？

ssh -Rユーザーがリモートで転送できるポートを制限する必要があります。

permitopenauthorized_keysのオプションについて知っていますが、manページで述べているように、ローカルの「ssh -L」ポート転送のみを制限します

ここで説明したように、ユーザーは同じnetcatまたは類似したものを取得しますが、この場合、ユーザーにはシェルアクセスがありません

また、このスレッドはselinuxまたはの使用LD_PRELOADについて説明していますが、以前にselinuxを設定したことはなく、その方法についての情報は見つかりませんLD_PRELOAD。

誰かがopensshにそれを実装するためのパッチを作成したのでしょうか？

編集：このバグレポートを見つけたので、まだ実装されていないと思います

これは、2018-08-24にリリースされたOpenSSH 7.8p1に実装されています。リリースノートからの引用：

PermitListenディレクティブをsshd_config（5）に追加し、対応するpermitlisten = authorized_keysオプションを追加して、リモートフォワーディングで使用できるリスンアドレスとポート番号を制御します（ssh -R ...）。

no-port-forwardingすべてのポート転送を防ぐ、使用できるオプションがあります。少なくともOpenSSH 4.3p2（CentOS 5.3-私がアクセスできる最も古いマシン）の時点で提示します。あなたが置いたのと同じ場所に置いてくださいpermitopen。

sshを使用して制限することはできません。そのためには、おそらくselinuxまたはiptablesを使用できます。ただし、必要に応じて、または合わない代替戦略があります。UNIXソケットへのバインドを使用します。これは、opensshバージョン6.8以降で使用可能になります。

ソケットを使用する場合、ファイルシステムACL（ソケットは* nixに依存する可能性がありますが）を自由に使用でき、それを使用して、あるユーザーが別のソケットにバインドするのを防ぐことができます。ただし、ポートへのバインドを妨げることはないため、ユースケースによっては役に立たない可能性がありますが、ソケットのみを一貫して使用できる場合はポートは重要ではありません。

UNIXソケットでは、ダングリングソケットファイルを処理すると、リバースパブリッシャーが再接続しようとするため、問題が生じる場合があります。その問題に対する別の質問（および回答）があります。要するに、あなたもおそらく使用したいStreamLocalBindUnlink yes：

接続が閉じた後にSSHリバーストンネルソケットをクリーンアップする方法は？

複製：https : //superuser.com/questions/516417/how-to-restrict-ssh-port-forwarding-without-denying-it

以下を使用できるように見えますか？

サーバー構成ファイルには、PermitOpenオプションがあります。このオプションを使用して、転送を確立できるホストとポートを指定できます。このオプションは、Matchブロック内で使用できるため、ユーザー、グループ、ホスト名、またはIPアドレスパターンによって制限できます。

編集：したがって、サーバー設定で次を追加します

PermitOpenホスト：ポート

PermitOpen IPv4_addr：port

PermitOpen [IPv6_addr]：port