Question

我正在尝试使用以下命令通过公共子网中的堡垒主机在私有子网中建立转发到我的RDS的端口：

ssh -A  -NL 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com

但无法连接到rds实例。

堡垒主机的安全组仅允许通过我的IP在端口22上使用SSH

RDS的安全组允许堡垒主机安全组的流量和我的iP的SSH

除了子网的ACL之外，TCP的所有流量均已开放。

有人提示要使隧道运行时缺少什么？

merci A

Answer 1

我认为您缺少端口3306和3307。在两个安全组中都允许该端口，它将起作用。

正如您所说，您是通过密钥对访问堡垒的，新命令必须为：

ssh -N -L 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com -i /path/to/key.pem

我建议从命令中删除A，因为它启用了身份验证代理连接的转发。也可以在每个主机的配置文件中指定它。

应谨慎启用代理转发。能够绕过远程主机（对于代理的UNIX域套接字）上的文件权限的用户可以通过转发的连接访问本地代理。攻击者无法从代理获取密钥材料，但是他们可以对密钥执行操作，以使其能够使用加载到代理中的身份进行身份验证。