Собственно, никто с этим и не спорит;)

+ можно сечь скан портов (> N TCP SYN запросов на разные порты с одного адреса) и банить негодяев еще до того как они досканят до XXX22 порта :)

ssh -R 3389:RDPserver:3389 user@SSHserver
При этом порт 3389 на SSHserver должен быть свободен, если нет — тогда надо использовать другой свободный:
ssh -R 9999:RDPserver:3389 user@SSHserver и его указать в RDP-клиенте

Я наверное слепой?
http://www.snailbook.com/faq/gatewayports.auto.html
Вы серьезно? Это все что там написано по теме «TCP port forwarding».

Буду благодарен за ссылку :)

Спасибо, обязательно изучу.

Спасибо, я пока с этой опцией не разобрался.

Пока не дорос до полноценного использования ~/.ssh/config, к сожалению :( не знаю, лень это или иррационализм какой :-D

Да, если вам весь Интернет не нужен, а только конкретные IP-адреса/маски, то можно маршрут по-умолчанию не менять, а дописать только нужные вам адреса через шлюз на tun5.
Вероятность положить часть сети на сервере при изменении маршрута по-умолчанию есть, включая ваше ssh-соединение. Об этом и написано предупреждение.

Я бы выбрал другую аналогию :)
SSH на стандартном порту — это когда на двери кабинета табличка «сейф тут». И так в 99% зданий.
На нестандартном — это когда вам нужно пройти 20-30 этажей, обсмотреть все или часть дверей по пути, и те которые не закрыты — открыть, чтобы проверить, нет ли там сейфа.
Понятно, что вы бегаете быстро, но все же, усилия и ресурсы разные.

Я если делаю беспарольный доступ, то как минимум с двух-трех машин, чтобы доступ у меня всегда был, независимо от того где я (ноутбук рулит).

Так тут проблема не в беспарольном доступе, а в passwd -l :)

Возможно, если парк большой. Хотя и в этом случае можно унифицировать.
Просто одно дело стукнуться в 22 порт и увидеть что он закрыт, а другое — просканировать какой-то диапазон портов в поисках SSH.

Сильно лучше VNC? Порты VNC тоже можно прокинуть.
Я вот все ищу какую-то альтернативу VNC, уж больно оно глюкавое и тормозное.

Спасибо. Только для этого само приложение должно поддерживать протокол SOCKS, ведь так?

Да, также это можно добавить в /etc/ssh/sshd_config. Это уже тонкая настройка, мануал писать не хочется.
Можно еще наверное было бы описать возможности ~/.ssh/config на клиенте, не знаю нужно ли.

Спасибо, добавил.

Спасибо. Думаю, это опасненько :)
Уж лучше каждому свое имя/порт назначать. И если что чистить через ssh-keygen -R…

Проходил у вас несколько лет назад собеседование. Все было вполне нормально, пока не зашла речь о деньгах :)
Да и сейчас на сайте вилки или хотя бы минимальной зарплаты не видно.
Это отталкивает — впечатление, будто в Азии на рынке торгуешься.

Спасибо, не видел! Отличная статья!

Ну первое что приходит на ум — слать ему какой-нибудь пакет TCP или UDP из потока с базой. Ну или HTTP-запрос, но это дороговато мне кажется.