<div dir="ltr"><div class="gmail_default" style="font-size:x-small">​That's what I was afraid of. ​</div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">Thanks. </div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">This is going to be passing a lot of traffic and there's a lot more CPU load from using SSH v.s. stunnel or something like OpenVPN. </div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">We'll give the ssh thing a shot and monitor the loads. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 20, 2018 at 9:33 AM, Peter Pentchev <span dir="ltr"><<a href="mailto:roam@ringlet.net" target="_blank">roam@ringlet.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Jul 17, 2018 at 10:51:07PM -0600, C. Petro wrote:<br>
</span><span class="">> I have a client who is setting up a logging infrastructure involving a<br>
> couple of DMZs forwarding logs into central logging points.<br>
> <br>
> They have to pass compliance audits (SOX, PCI at least) and have some<br>
> rather specific desires in regards to how they want the log traffic to<br>
> move, and which servers *initiate* the connections.<br>
> <br>
> Which is to say they want the internal servers to set up tunnels to the DMZ<br>
> servers and then the forwarders use that tunnel to deliver logs back.<br>
<br>
</span>...oof.  I went back and reread your original message more carefully.<br>
The truth is, stunnel cannot really do what you want :(<br>
<br>
It seems to me that what you want could be accomplished with OpenSSH and<br>
its remote connection forwarding: set up an SSH server in the DMZ,<br>
generate a (possibly passphraseless) key pair on the central server,<br>
add the public key to an the authorized_keys file of an unprivileged<br>
account on the DMZ server, and then, on the central server (again, from<br>
an unprivileged account), run a command like:<br>
<br>
  ssh -N -R 3000:localhost:3000 accountname@dmz.server<br>
<br>
Then SSH will listen for incoming connections on <a href="http://127.0.0.1:3000" rel="noreferrer" target="_blank">127.0.0.1:3000</a> on the DMZ<br>
server and, when a connection comes in, create a connection from 127.0.0.1 to<br>
<a href="http://127.0.0.1:3000" rel="noreferrer" target="_blank">127.0.0.1:3000</a> on the central server and start forwarding data.<br>
<br>
If needed, the OpenSSH server on the DMZ host may be configured so that it is<br>
very restricted: only public-key authentication, only certain users may<br>
connect, only certain commands may be executed, etc.<br>
<br>
Apologies for not reading your first message carefully enough!<br>
<div class="HOEnZb"><div class="h5"><br>
G'luck,<br>
Peter<br>
<br>
-- <br>
Peter Pentchev  roam@{<a href="http://ringlet.net" rel="noreferrer" target="_blank">ringlet.net</a>,<a href="http://debian.org" rel="noreferrer" target="_blank">debian.org</a>,<wbr>FreeBSD.org} <a href="mailto:pp@storpool.com">pp@storpool.com</a><br>
PGP key:        <a href="http://people.FreeBSD.org/~roam/roam.key.asc" rel="noreferrer" target="_blank">http://people.FreeBSD.org/~<wbr>roam/roam.key.asc</a><br>
Key fingerprint 2EE7 A7A5 17FC 124C F115  C354 651E EFB0 2527 DF13<br>
</div></div></blockquote></div><br></div>