SSH attraverso la differenza del server Bastion tra accesso e proxy

Non sono molto esperto nei meccanismi interni di SSH ecc. Quindi abbiate pazienza. Stiamo usando un server Bastion attraverso il quale le persone hanno bisogno di SSH per fare il loro lavoro. Normalmente questo sarebbe SSH per bastionare e poi SSH per alcuni server.

La mia domanda è questa: esiste una reale differenza (tecnica, prestazionale e di sicurezza) tra l'uso di due accessi (da 1 a Bastion 1 su server) e l'uso del comando -W con ssh su proxy?

Quindi differenza nel fare:

ssh user1@bastion
ssh user2@server 

e

ssh user1@bastion -W user2@server

(non sono sicuro che questo secondo abbia la sintassi corretta in quanto non la uso, ma penso che tu abbia l'idea)

Il login è prima con un determinato utente con loginname / password e il secondo con il server con coppie di chiavi.

In caso di "reinserimento", il 2o client è in esecuzione sull'host bastion.

• O la tua coppia di chiavi deve essere sul bastione, oppure devi utilizzare "forwarding agente" SSH per dargli accesso limitato alla coppia di chiavi.
• Qualsiasi inoltro TCP ( ssh -L) deve essere impostato due volte, una volta durante la connessione all'host bastion, una volta durante la connessione al server reale.
• Inoltre, l'host del bastione può tecnicamente vedere tutto ciò che scrivi e tutto ciò che ricevi su quel tunnel SSH.
• Un vantaggio, tuttavia, è che potresti usare Mosh per connetterti all'host del bastione (e SSH regolare da lì in poi).

Quando ssh -Jviene utilizzato o un comando proxy, il 2o client viene eseguito localmente .

• Ciò significa che l'autenticazione solo deve accadere a livello locale.
• I forward TCP devono essere elaborati una sola volta.
• Il server bastione vede solo il traffico SSH crittografato, non l'input / output effettivo.
• Tuttavia, questa modalità aggiunge un overhead extra poiché hai SSH in SSH; sia in termini di traffico di rete che di utilizzo della CPU.