Як обмежити доступ до "Remote Login" (ssh) лише до певних діапазонів IP?

Чи може хтось сказати мені, як обмежити доступ SSH лише до певних діапазонів IP (наприклад, локальної мережі), а не до всього Інтернету? Думаю, це потрібно зробити через брандмауер.

ssh firewall

— Michal M
джерело

Відповіді:

Від man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

http://www.debian-administration.org/articles/87 пропонує такі приклади:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Програма обгортки TCP у Mac OS X: tcpd

— TJ Luoma
джерело

Я не перевірив це, але спробую це у терміналі:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

— Max Ried
джерело

Якщо ви знаходитесь за маршрутизатором і не відображає порт на комп'ютері, це фактично вимикає доступ SSH з Інтернету.

— Gerry
джерело

Так, я це знаю. На жаль, це не є для мене рішенням, оскільки це стосується мого MacBook Pro, який час від часу підключається до мереж із зовнішнім IP-адресою, а маршрутизатора між ними немає.

— Michal M

Це здається малоймовірним, і, якщо ви маєте лише один мережевий адаптер, це означає, що не існує "локальної" мережі, якщо до неї прив'язана загальнодоступна IP-адреса.

— Gerry

Малоймовірно чи ні, не має значення, чи не так? Окрім зовнішньої ситуації з ІВ, розгляньте Громадські мережі WiFi. Я знаю, які мережі безпечні для мене, і я хотів би обмежити доступ до цих мереж. Моє питання трохи більш загальне, хоча я мав намір.

— Michal M

Я пропоную перефразовувати питання тоді. Схоже, що ви шукаєте білі списки (деякі) діапазони IP для деяких служб брандмауера.

— Gerry

Виконано як запропоновано. Привітання.

— Michal M