Доступ к RDS через хост-бастион с переадресацией портов не работает

Question

Я пытаюсь установить переадресацию портов на мою RDS в частной подсети через бастионный хост в публичной подсети с помощью следующей команды:

ssh -A  -NL 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com

но не могу подключиться к экземпляру rds.

Группа безопасности для Bastion Host разрешает только SSH на порт 22 с моего IP

и группа безопасности для RDS разрешает трафик от группы безопасности бастионных хостов и SSH от моего iP

Кроме того, ACL для подсетей открыт для всего трафика по TCP.

кто-нибудь совет, чего не хватает для запуска туннеля?

merci A

Answer 1

Я думаю, вам не хватает порта 3306 и 3307.Разрешите этот порт в обеих группах безопасности, и он будет работать.

Поскольку вы сказали, что получаете доступ к бастиону через пару ключей, ваша новая команда должна быть:

ssh -N -L 3007:mydb3.co2qgzotzkku.eu-west-1.rds.amazonaws.com:3306 ubuntu@ec2-562243-250-177.eu-west-1.compute.amazonaws.com -i /path/to/key.pem

Я бы предложил удалить A из команды, поскольку она разрешает переадресацию соединения агента аутентификации.Это также можно указать для каждого хоста в файле конфигурации.

Переадресацию агентов следует включать с осторожностью.Пользователи с возможностью обойти права доступа к файлам на удаленном хосте (для сокета UNIX-домена агента) могут получить доступ к локальному агенту через переадресованное соединение.Злоумышленник не может получить материал ключа от агента, однако он может выполнять операции с ключами, которые позволяют им проходить проверку подлинности с использованием идентификаторов, загруженных в агент.