[Réseau] SSH, authentification et redirection

Bonjour !

Je me permet d’écrire ce sujet et de solliciter votre aide pour un problème un peu particulier.
Je m’explique : je possède trois serveurs debian avec un accès SSH classique. Afin d’augmenter la sécurité je souhaite faire en sorte que l’un de ces serveurs serve de “proxy” pour se connecter aux deux autres.
La solution que je souhaite mettre en place est la suivante : le serveur dit “proxy” écoute sur le port 22 et redirige le trafic après authentification en fonction de l’utilisateur qui se connecte, vers le port 22 du serveur correspondant (mettons que l’utilisateur serv1 soit redirigé vers le serveur 1 et serv2 vers le serveur 2).

J’ai pensé a faire un script qui s’exécute à la connexion de l’utilisateur pour relancer une connexion SSH vers le serveur adressé mais ça ferait intervenir 2 tunnels distincts et je ne veux pas car je souhaite faire passer dans ce tunnel SSH une connexion mysql (port 3306) en utilisant le principe du TCP/IP over SSH et si il y a double connexion celui ci ne peux pas fonctionner.

Questions :

• existe t-il des règles iptables qui pourraient résoudre mon problème?
• connaissez vous un paquet/logiciel qui pourrait ressembler à ce que je souhaite installer?

Je vous remercie d’avance pour votre aide

Je ne connais pas de solution/logiciel qui permette de faire ce que tu souhaite.

Par contre je peux te proposer une alternative qui serait de faire de la redirection de port au niveau de ta machine d’entrée.
Si tu tente une connexion sur le port AA tu te connecte directement sur la machine A, sur le port BB sur la machine B etc.
Comme ça ton serveur d’entré n’intervient pas dans la connexion et aucune double authentification n’est nécessaire.

Je laisse les autre te proposer des solutions plus élégantes

Merci pour ta réponse Mimoza !

En fait c’est la configuration qui est actuellement en place ahah mais je cherche un moyen de l’améliorer.
Pour la faire courte, les deux autres serveurs n’acceptant les connexions que de ce proxy, si quelqu’un vient a découvrir son existence (au proxy) et tente d’attaquer les ports AA, le trafic sera directement routé vers les serveur 1 et 2. Or je veux faire en sorte que ce trafic reste au niveau du proxy avec ma solution, de manière a ce que les serveurs 1 et 2 ne soient pas impactés.
Mais merci en tout cas!

En réfléchissant il y a peut être un autre moyen que de faire de la redirection de port.
SSLH est fait pour «cacher» un accès SSH derrière une page SSL, je sais qu’il a de nombreuses fonctionnalité depuis les dernières versions, il faut voir si tu ne peut pas le tordre pour arriver a ce que tu souhaite.

En dehors du mode parano …
Quel est l’intérêt ?
En mode sécurité, [mono]ssh[/mono] accès par [mono]clefs publiques/privées[/mono] et basta.
Le soit dit serveur proxy, plante, tu fais quoi ?

@Mimoza : je vais regarder un peu ce qui a été fait sur SSH et je vous tiendrai au courant de ce que je trouverai!

@BelZéButh : je ne comprend pas bien le but de ton intervention. Certes ma topologie est particulière mais si je l’ai faites de cette manière c’est que j’ai mes raisons.
Si ça peut aider a mieux comprendre, je vais héberger deux activités à haut risque DDOS. La protection sur les service en eux mêmes est déjà prête mais pour éviter que mes serveurs puissent être joint directement j’ai souhaité installer deux proxy : un qui se situera entre l’utilisateur et les services (mais dont nous ne parlerons pas ici) un autre qui se situera entre la prise en main des serveurs (SSH) et moi (celui sur lequel je demande conseil).
Le but de la manœuvre étant de faire en sorte que personne ne connaisse la véritable adresse des serveurs hébergeant les services.
Si je permet un accès SSH direct aux deux serveurs en cas d’attaque, même si mes iptables et mon fail2ban sont bien configurés, le lien devra encaisser le trafic et ce n’est pas bon du tout.
Avec ma technique, c’est le proxy qui encaissera l’attaque et le service restera opérationnel.
Quand à la probabilité d’indisponibilité du proxy, toute l’architecture est redondée donc ce n’est pas un problème.

Et un reverse proxy SOKS sur le serveur en frontal ?
Rien besoin d’installer, le serveur ssh de debian le fait déja.
un truc comme ça: jdubb.net/blog/2009/07/remote-rd … tunneling/

@piratebab : ouiouiOUIOUIOUI ! C’est ça! Merci beaucoup, je vous enverrai la config finale dès que j’aurais bidouillé si ça vous intéresse