Diese Abbildung zeigt zwei Methoden für den Zugriff auf ein privates Subnetz von einer On-Premise-Workstation.

• Die Workstation verwendet den lokalen Host und Port A, um über ein dynamisches Routinggateway mit Secure Shell (SSH) und einer öffentlichen IP-Adresse eine Verbindung zum Bastionsserver herzustellen. Der Bastionsserver stellt über private IP1 und Port B sowie über private IP2 und Port C eine Verbindung zum privaten Subnetz her.
• Die Workstation verwendet einen SSH-Tunnel und eine Portweiterleitung, um zuerst mit der Linux-Firewall 1 zu kommunizieren, die das öffentliche Bastion-Subnetz betreibt, und dann mit der Linux-Firewall 2, die das private Subnetz bedient.