Обмежте SSH одним інтерфейсом

10

Як я можу обмежити вхідний запит на з'єднання SSH лише одним інтерфейсом? Я використовую Ubuntu Server 10.04 LST.

Я хочу заблокувати доступ до SSH лише до одного інтерфейсу, оскільки я використовую сервер як шлюз до моєї домашньої мережі. Один інтерфейс підключений до модему / маршрутизатора DSL, а інший підключений до домашньої мережі. Я хочу лише дозволити доступ до форми SSH всередині домашньої мережі.

Чи достатньо обмеження SSH в одному IP в цьому випадку? Або мені потрібно заблокувати його до одного інтерфейсу?

ubuntu  ssh  sshd  network-interface 
wowpatrick
джерело
1
Чи можете ви бути більш зрозумілими, що ви маєте на увазі під "лише одним інтерфейсом"? Ви маєте на увазі, що машина має більше однієї IP-адреси, і ви хочете, щоб SSH слухав лише одну IP-адресу? Або ти маєш на увазі, що хочеш скинути вхідні пакети до порту SSH на інших інтерфейсах? (Ваш запит дуже незвичний, і можливо, ви ставите неправильне запитання.)
Девід Шварц
@DavidSchwartz Я попросив обмеження інтерфейсу, оскільки не знав, чи достатньо обмежити доступ SSH лише до одного IP. Я також доповнив своє запитання більш детально.
wowpatrick

Відповіді:

12

У наступному файлі:

 /etc/ssh/sshd_config

Ви побачите рядок типу:

#ListenAddress 0.0.0.0

Це коментується, але це за замовчуванням, щоб перелічити всі IP-адреси для ssh-запитів. Ви можете змінити це так, що це IP-адреса інтерфейсу, на який ви бажаєте приймати з'єднання, і лише так, що IP-адреса прийме ssh-з'єднання:

ListenAddress 111.222.111.222

Перезапустіть службу sshd після зміни.

Пол
джерело
4
Це не обмежує інтерфейси, на яких може працювати SSH, лише IP-адресу призначення. (Це може бути те, чого дійсно хотіла ОП. Але це не те, що просили ОП.)
Девід Шварц
@DavidSchwartz спасибі - ви можете уточнити? Якщо IP-адреса пов'язана з інтерфейсом, чи може інший інтерфейс якось прийняти з'єднання з цією установкою (я думаю, якщо переадресація була включена, це може спрацювати).
Пол
@DavidSchwartz ах, я бачу ваш коментар вище.
Пол
1
Пересилання стосується лише пакету, отриманого в одному інтерфейсі, який повинен бути переданий іншим. Не потрібно приймати пакет, отриманий в інтерфейсі, відмінному від того, якому призначено його адреса призначення. Linux використовує модель, де IP-адреси належать системі, а не інтерфейсам - всі інтерфейси з'єднують одного хоста.
Девід Шварц
2

Спробуйте встановити брандмауер і дозволити SSH лише на одному інтерфейсі. Мої переваги - Shorewall, який є інстальованим пакетом на Ubuntu. Вам потрібно буде налаштувати її до її запуску, але вона добре задокументована і має кілька прикладних конфігурацій.

Я використовую здебільшого закритий брандмауер із відкритими лише портами. Якщо все, що ви хочете зробити, це обмежити інтерфейс SSH, дозволений на вас, ви можете скористатися дією REJECT або DROP для ssh на інших інтерфейсах. Я б радив, якщо ви будуєте брандмауер, ви принаймні обмежуєте доступ до інтерфейсів, що стоять перед Інтернетом.

BillThor
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.