Ограничить порт Reverse SSH

[chesnokovdmitry]

У меня есть сервер с развернутым OpenSSH, авторизация по ключам. Коллеги из маленьких офисов цепляются к моему серверу, используя Remote Reverse SSH (ssh -R ...). Недавно у меня возникла проблема: два "умника" пытались использовать один и тот же порт моего сервера, из-за чего второй не мог дать доступ к своей системе, хотя номер порта выдавал ему я сам. Первый "умник" просто допустил ошибку в строке подключения.

Клиенты используют:
ssh -N -R ServerPort:localhost:ClientPort username@ServerAddress
где ServerPort - это порт, который будет открыт на моем сервере, чтобы я достучался до их сервиса на порту ClientPort.

Возник вопрос: как ограничить номер порта сервера (в примере это ServerPort), который клиент может использовать при создании Remote Reverse SSH?
Опции ForceCommand не отрабатывает при использовании клиентом опции -N.
Опция PermitOpen не отрабатывает при использовании -R.
Опция AllowTcpForwarding no отрубает все туннелирование.

Господа, прошу помощи, так как у меня этих "умников" несколько сотен, из них несколько очень "рукастых". Боюсь, что и до локальной DoS-атаки может дойти.

[AnrDaemon]

Использовать VPN уже. Не 1960-й год на дворе.

[chesnokovdmitry]

Использовать VPN уже. Не 1960-й год на дворе.

Использовать VPN уже. Не 1960-й год на дворе.

Из пушки по воробьям - это перебор. В добавок у меня отстроена система распространения приватных ключей. Переделывать её на рассылку сертификатов не хочется.

[AnrDaemon]

Чего? O.o

[Sly_tom_cat]

В добавок у меня отстроена система распространения приватных ключей. Переделывать её на рассылку сертификатов не хочется.

Эпичненько 

Если уж приватные ключи распространять считаете нормой - то сертификат можно на открытый ресурс выложить, ИМХО. 

[AnrDaemon]

Sly_tom_cat, вместе с ключом.
Пользователь решил продолжить мысль 29 Апреля 2015, 21:26:04:Актуально: http://ithappens.me/story/13286