Limitare SSH a un'interfaccia


10

Come posso limitare la richiesta di connessione SSH in arrivo a una sola interfaccia? Sto usando Ubuntu Server 10.04 LST.

Voglio bloccare l'accesso a SSH su una sola interfaccia perché utilizzo il server come gateway per la mia rete domestica. Un'interfaccia è connessa al modem / router DSL e l'altra è connessa alla rete domestica. Voglio solo consentire l'accesso al modulo SSH all'interno della rete domestica.

In questo caso è sufficiente limitare SSH a un IP? O devo bloccarlo su un'interfaccia?


1
Puoi essere più chiaro con ciò che intendi con "per una sola interfaccia"? Vuoi dire che la macchina ha più di un indirizzo IP e vuoi che SSH ascolti solo un indirizzo IP? O vuoi dire che vuoi che i pacchetti in entrata alla porta SSH su altre interfacce vengano eliminati? (La tua richiesta è molto insolita ed è possibile che tu stia facendo la domanda sbagliata.)
David Schwartz

@DavidSchwartz Ho chiesto la limitazione dell'interfaccia perché non ero sicuro che fosse sufficiente limitare l'accesso SSH a un solo IP. Ho anche integrato la mia domanda con maggiori dettagli.
wowpatrick,

Risposte:


12

Nel seguente file:

 /etc/ssh/sshd_config 

Vedrai una linea come:

#ListenAddress 0.0.0.0

Questo è commentato, ma è l'impostazione predefinita, per elencare tutti gli indirizzi IP per le richieste ssh. Puoi cambiarlo in modo che sia l'indirizzo IP dell'interfaccia su cui vuoi accettare le connessioni, e solo che quell'indirizzo IP accetti connessioni ssh:

ListenAddress 111.222.111.222

Riavvia il servizio sshd una volta modificato.


4
Ciò non limiterà le interfacce su cui SSH può operare, ma solo l'indirizzo IP di destinazione. (Potrebbe essere quello che l'OP voleva davvero. Ma non è quello che l'OP ha chiesto.)
David Schwartz

@DavidSchwartz grazie - puoi chiarire? Se un indirizzo IP è associato a un'interfaccia, un'altra interfaccia può accettare una connessione con questa configurazione in qualche modo (suppongo che se l'inoltro fosse abilitato potrebbe funzionare).
Paul

@DavidSchwartz ah, vedo il tuo commento sopra.
Paul

1
L'inoltro si riferisce solo a un pacchetto ricevuto su un'interfaccia che deve essere trasmessa da un'altra. Non è necessario accettare un pacchetto ricevuto su un'interfaccia diversa da quella a cui è assegnato il suo indirizzo di destinazione. Linux utilizza un modello in cui gli indirizzi IP appartengono al sistema, non alle interfacce: tutte le interfacce collegano un singolo host.
David Schwartz,

2

Prova a installare un firewall e consenti SSH su una sola interfaccia. Le mie preferenze sono Shorewall che è un pacchetto installabile su Ubuntu. Dovrai configurarlo prima che inizi, ma è ben documentato e viene fornito con diverse configurazioni di esempio.

Uso un firewall per lo più chiuso con solo le porte richieste aperte. Se tutto ciò che vuoi fare è limitare l'interfaccia su cui è consentito SSH, puoi usare un'azione REJECT o DROP per ssh sulle altre interfacce. Suggerirei se stai costruendo un firewall almeno limiti l'accesso alle interfacce Internet.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.