Czy ktoś może mi powiedzieć, jak ograniczyć dostęp SSH tylko do niektórych zakresów adresów IP (np. Sieć lokalna), a nie do całego Internetu? Myślę, że należy to zrobić za pośrednictwem zapory ogniowej.
20
Od man sshd
:
/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.
Further details are described in hosts_access(5).
https://debian-administration.org/article/87/Keeping_SSH_access_secure oferuje następujące przykłady:
# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0
# /etc/hosts.deny
sshd: ALL
Program owijający TCP w Mac OS X to: tcpd
Nie testowałem tego, ale spróbuję tego w terminalu:
sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22
Jeśli jesteś za routerem i nie odwzorowałeś portu na komputer, to skutecznie wyłącza dostęp SSH z Internetu.