From 033dfca78c681501edf37a5174b774328b1d5bbb Mon Sep 17 00:00:00 2001
From: jlecour <jlecour+gitit@evolix.fr>
Date: Fri, 5 Oct 2018 23:49:59 +0200
Subject: [PATCH] astuce de tunnel plus bastion

---
 HowtoOpenSSH.md | 10 +++++++++-
 1 file changed, 9 insertions(+), 1 deletion(-)

diff --git a/HowtoOpenSSH.md b/HowtoOpenSSH.md
index 619303c0..e697c7b9 100644
--- a/HowtoOpenSSH.md
+++ b/HowtoOpenSSH.md
@@ -862,6 +862,14 @@ Enter lock password:
 Agent unlocked.
 ~~~
 
+### Ouvrir un tunnel, en passant par un bastion
+
+Voici un exemple pour exposer localement un service VNC sur le port 5901 qui est accessible uniquement localement sur le port 5906 d'un serveur VNC, qui lui même n'est accessible que par un bastion :
+
+~~~
+ssh -J bastion.example.com -L 5906:127.0.0.1:5901 vnc-server.example.com
+~~~
+
 ### Comment protéger un serveur SSH des attaques ?
 
 Voici plusieurs méthodes pour protéger son serveur SSH (qui peuvent se cumuler)
@@ -870,4 +878,4 @@ Voici plusieurs méthodes pour protéger son serveur SSH (qui peuvent se cumuler
 - modifier le port d'écoute de son serveur SSH pour diminuer un peu les attaques automatiques (`Port 2200` dans *sshd_config*)
 - utiliser du Port Knocking pour camoufler son port SSH
 - ne pas autoriser les connexions SSH avec un mot de passe (`PasswordAuthentication no` dans *sshd_config*)
-- configurer [Fail2Ban](HowtoFail2Ban) pour bannir les adresses IP qui se trompent de mot de passe
+- configurer [Fail2Ban](HowtoFail2Ban) pour bannir les adresses IP qui se trompent de mot de passe
\ No newline at end of file