Come limitare l'accesso "Accesso remoto" (ssh) solo a determinati intervalli IP?

Qualcuno può dirmi come limitare l'accesso SSH solo a determinati intervalli IP (ad es. Rete locale) e non all'intera Internet? Immagino che questo debba essere fatto tramite firewall.

ssh firewall

— Michal M
fonte

Risposte:

Da man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure offre questi esempi:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Il programma wrapper TCP in Mac OS X è: tcpd

— TJ Luoma
fonte

Non l'ho provato, ma lo proverei nel terminale:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

— Max Ried
fonte

Se sei dietro un router e non hai mappato la porta sul tuo computer, ciò disabilita in modo efficace l'accesso SSH da Internet.

— gerry
fonte

Sì, ne sono consapevole. Sfortunatamente questa non è davvero una soluzione per me in quanto lo è per il mio MacBook Pro che a volte è collegato a reti con IP esterno e senza router nel mezzo.

— Michal M

Ciò sembra molto improbabile, e supponendo che tu abbia una sola scheda di rete, ciò implicherebbe che non esiste una rete "locale" se un indirizzo IP pubblico è associato ad essa.

— Gerry,

Improbabile o no, non importa davvero, vero? A parte la situazione dell'IP esterno, considera le reti WiFi pubbliche. So quali reti sono sicure per me e vorrei limitare l'accesso solo a queste reti. La mia domanda è un po 'più generica, ma quale era la mia intenzione.

— Michal M,

Suggerirei di riformulare la domanda allora. Sembra che tu stia cercando nella whitelist (alcuni) intervalli IP per alcuni servizi nel firewall.

— Gerry,

Fatto come suggerito. Saluti.

— Michal M,