我正在尝试使用以下命令通过公共子网中的堡垒主机在私有子网中建立到我的 RDS 的端口转发:
ssh -A -NL 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com
但无法连接到 rds 实例。
堡垒主机的安全组只允许从我的 IP 在端口 22 上进行 SSH
RDS 的安全组允许来自堡垒主机安全组的流量和来自我的 iP 的 SSH
除了子网的 ACL 之外,对 TCP 的所有流量都是开放的。
任何人都可以提示让隧道运行缺少什么?
感谢
【问题讨论】:
标签: amazon-web-services portforwarding
我认为您缺少端口 3306 和 3307。在两个安全组中允许该端口,它将起作用。
正如您所说,您正在通过密钥对访问堡垒,您的新命令必须是:
ssh -N -L 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com -i /path/to/key.pem
我建议从命令中删除A,因为它启用了身份验证代理连接的转发。这也可以在配置文件中针对每个主机指定。
应谨慎启用代理转发。能够绕过远程主机上的文件权限(对于代理的 UNIX 域套接字)的用户可以通过转发连接访问本地代理。攻击者无法从代理获取密钥材料,但是他们可以对密钥执行操作,使他们能够使用加载到代理中的身份进行身份验证。
【讨论】:
telnet mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com 3306。另外,你能告诉我你从哪里运行这个命令吗?该 IP 是否已添加到端口 22 的安全组中?