Wie kann der Zugriff auf "Remote Login" (ssh) auf bestimmte IP-Bereiche beschränkt werden?

20

Kann mir bitte jemand sagen, wie man den SSH-Zugriff nur auf bestimmte IP-Bereiche (z. B. lokales Netzwerk) und nicht auf das gesamte Internet beschränkt? Ich denke, dies muss über eine Firewall erfolgen.

Michal M
quelle

Antworten:

23

Von man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure bietet folgende Beispiele:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Das TCP-Wrapper-Programm unter Mac OS X lautet: tcpd

TJ Luoma
quelle
3

Ich habe das nicht getestet, aber ich würde es im Terminal versuchen:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22
Max Ried
quelle
1

Wenn Sie sich hinter einem Router befinden und den Port nicht Ihrem Computer zugeordnet haben, wird der SSH-Zugriff aus dem Internet deaktiviert.

Gerry
quelle
Ja, das ist mir bewusst. Leider ist dies keine wirkliche Lösung für mich, da dies für mein MacBook Pro gilt, das gelegentlich mit Netzwerken mit externer IP und ohne dazwischen liegenden Router verbunden ist.
Michal M
1
Dies ist sehr unwahrscheinlich und unter der Annahme, dass Sie nur einen Netzwerkadapter haben, würde dies bedeuten, dass es kein "lokales" Netzwerk gibt, wenn eine öffentliche IP-Adresse daran gebunden ist.
Gerry
Unwahrscheinlich oder nicht, spielt eigentlich keine Rolle, oder? Berücksichtigen Sie neben der externen IP-Situation auch öffentliche WiFi-Netzwerke. Ich weiß, welche Netzwerke für mich sicher sind und möchte den Zugriff nur auf diese Netzwerke beschränken. Meine Frage ist jedoch etwas allgemeiner, was meine Absicht war.
Michal M
Ich würde vorschlagen, die Frage dann neu zu formulieren. Klingt so, als würden Sie (einige) IP-Bereiche für einige Dienste in der Firewall auf die Whitelist setzen.
Gerry
Fertig wie vorgeschlagen. Prost.
Michal M