SSH git流量访问控制

Question

我的SSH贸易流如下图所示。

​

​

要求阻止所有SSH通信量，并且只允许从DMZ区域的F5 LB访问很少的项目列表。

Node1 & Node 2也是为SSH服务的内部网络的一部分，这些节点/servers承载了大量Repos，我们不希望通过DMZ区域打开所有回购访问。

据我所知，最终用户只能克隆添加SSH密钥的repos，但是来自DMZ的用户可以将其密钥添加到其他repo中，而其他回购不能被批准从DMZ区域访问，并且可以访问托管在Bitbucket服务器上的回购协议。

实现的目标：

阻塞所有SSH通信量，并且只允许从DMZ区域的F5 LB访问很少的项目列表。

git流量将携带像“ssh://git@my.domain.com:7999/prj_name/repo_name.git”这样的URL。

问题：

1. 如何在此环境中对SSH通信执行访问控制？
2. 我试着设置HAproxy，但是无法阻止/应用ssh上的ACL。HAproxy帮助使用url字符串阻止ssh吗？如果是，请指导/分享share阻塞的示例HAProxy规则。

在这方面寻求建议/指导。

(谢谢你预先给予注意:)

Answer 1

有一篇博客文章可以帮助你解决你的需求。

用HAProxy路由SSH连接

Answer 2

我通过只为镜像服务器打开SSH端口来使用Bitbucket镜像服务器来解决这个问题:)

非常感谢你的关注。