Salut,
 
Je découvre les tunnels SSH.
 
Je dois en urgence donner à un prestataire l'accès à 2 ports d'un serveur interne (80 et 3306/MySQL).
 
Je fais mes essais avec Putty sur mon poste et en fonction de la config de ce dernier, peux aller où je veux, sur n'importe quel port ou serveur.
 
Est-il possible, côté serveur SSH, de limiter les accès à un user que je vais devoir créer ? Lui limiter l'accès à une IP et 2 ports sur cet unique serveur.
 
J'ai bouffé pas mal de docs sur le net, je vois rien pour l'instant
 
Une idée svp ?

Je comprends pas ce que tu veux dire par "limiter l'accès à une IP et 2 ports" et le rapport avec les tunnels ssh
 
C'est un firewall qu'il te faut, pas ssh/putty.

Non..
Le firewall aura bien sa règle permettant à l'IP de notre presta d'accéder au serveur interne via SSH.
 
Quand tu montes un tunnel via le client SSH (putty dans notre cas), tu peux paramétrer la création du tunnel, et demander au serveur SSH de te renvoyer vers tel ou tel serveur et sur tel ou tel port, voir même en mode dynamique d'utiliser le tunnel "comme" un proxy pour un navigateur (config SOCKS).
 
Mon besoin est de limiter le tunnel SSH qu'à un seul serveur et 2 port (web et MySQL), pour que le presta ne puisses pas modifier son putty et y mettre n'importe quelle adresse, voir même utiliser notre serveur SSH comme "proxy" et surfer (je vais un peu loin, les proba sont faibles, mais je veux malgré tout verrouiller un max ce tunnel SSH, car le presta va en avoir besoin pendant plusieurs mois.

si ton besoin est qu'il accède à deux ports sur un serveur interne, alors pourquoi ne pas simplement forwarder les requêtes de son IP sur un port de ta gateway, vers le port mysql du serveur interne ?

Car je préfère ajouter une couche de sécurité en plus (le serveur de dev n'est pas en DMZ par ex). J'ai de gros doute sur la config de ce serveur niveau sécurité (je suis là depuis peu, mais j'en suis conscient) et désire faire les choses bien, en tout cas dans le peu de temps que j'ai pour leur donner accès.

Voilà, ce que j'ai mis en place fonctionne depuis l'extérieur, je peux monter le tunnel avec l'utilisateur spécialement créé pour notre presta, mais de leur côté on peut vraiment faire ce que l'on veut via ce tunnel, surfer à travers, accéder à n'importe quelle machine/port du LAN, etC.
 

Je ne comprends pas en quoi c'est plus secure que de simplement forwarder un port sur ta machine publique.

Un seul port ouvert / Un seul service accessible depuis l'extérieur / un flux crypté, tu ne vois pas en quoi c'est préférable ?
 
Au final, tant que je ne trouve pas comment limiter ce tunnel SSH, j'ai créé des règles de portforwarding juste pour l'IP du presta.

apache et mysql supportent SSL. Donc non, je ne vois pas tellement.

Je ne peux pas toucher à ce serveur de dev, il doit rester dans une config définie par ceux qui bossent dessus.