端口转发不起作用时通过堡垒主机访问RDS

Question

我正在尝试使用以下命令通过公共子网中的堡垒主机在私有子网中建立到我的RDS的端口转发：

ssh -A  -NL 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com

但无法连接到rds实例。

堡垒主机的安全组仅允许来自我的IP的端口22上的SSH

​

​

RDS的安全组允许来自堡垒主机安全组的流量和来自我的iP的SSH

​

​

此外，子网的ACL对TCP的所有流量都是开放的。

有没有人能告诉我，为了让隧道运行，还缺了什么？

merci A

Answer 1

我认为您错过了端口3306和3307。在两个安全组中都允许该端口，它就会正常工作。

正如您所说的，您正在通过密钥对访问堡垒，您的新命令必须是：

ssh -N -L 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com -i /path/to/key.pem

我建议从命令中删除A，因为它启用了身份验证代理连接的转发。这也可以在配置文件中以主机为单位指定。

应谨慎启用代理转发。能够绕过远程主机(针对代理的UNIX域套接字)上的文件权限的用户可以通过转发的连接访问本地代理。攻击者不能从代理获取密钥材料，但是他们可以对密钥执行操作，使其能够使用加载到代理中的身份进行身份验证。