SSH melalui perbedaan server Bastion antara relogin dan proksi

Saya tidak terlalu berpengalaman dalam pekerjaan SSH dll. Jadi bersabarlah. Kami menggunakan server Bastion di mana orang perlu SSH untuk melakukan pekerjaan mereka. Biasanya ini akan menjadi SSH ke bastion dan kemudian SSH ke beberapa server.

Pertanyaan saya adalah ini: Apakah ada perbedaan nyata (teknis, kinerja dan keamanan) antara menggunakan dua login (1 ke Bastion 1 ke server) dan menggunakan perintah -W dengan ssh ke proxy?

Jadi bedanya dengan melakukan:

ssh user1@bastion
ssh user2@server 

dan

ssh user1@bastion -W user2@server

(tidak yakin apakah yang kedua ini memiliki sintaks yang benar karena saya tidak menggunakannya, tapi saya pikir Anda mendapatkan ide)

Login pertama dengan pengguna tertentu dengan nama log / kata sandi dan yang kedua ke server dengan keypairs

Dalam kasus "relogin", klien ke-2 berjalan pada host bastion.

• Entah keypair Anda harus ada di benteng, atau Anda perlu menggunakan "penerusan agen" SSH untuk memberikannya akses terbatas ke keypair.
• Setiap penerusan TCP ( ssh -L ) harus diatur dua kali - satu kali saat menghubungkan ke bastion host, satu kali saat menghubungkan ke server sebenarnya.
• Selain itu, bastion host secara teknis dapat melihat semua yang Anda ketik dan semua yang Anda terima melalui terowongan SSH.
• Satu keuntungan, bagaimanapun, adalah bahwa Anda dapat menggunakan Mosh untuk terhubung ke host benteng (dan SSH reguler dari sana).

Kapan ssh -J atau perintah proxy digunakan, klien ke-2 sedang berjalan secara lokal .

• Ini berarti otentikasi itu hanya perlu terjadi secara lokal.
• TCP forward hanya perlu diproses sekali.
• Server benteng hanya melihat lalu lintas SSH terenkripsi, bukan input / output aktual.
• Namun, mode ini menambahkan beberapa overhead tambahan karena Anda memiliki SSH di SSH; baik dari segi lalu lintas jaringan dan penggunaan CPU.