특정 IP 범위로만 "원격 로그인"(ssh) 액세스를 제한하는 방법은 무엇입니까?

누군가 인터넷 전체가 아닌 특정 IP 범위 (예 : 로컬 네트워크)로만 SSH 액세스를 제한하는 방법을 알려주시겠습니까? 나는 이것이 방화벽을 통해 이루어져야한다고 생각합니다.

ssh firewall

— 미칼 M
소스

답변:

보낸 사람 man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure 는 다음 예제를 제공합니다.

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Mac OS X의 TCP 래퍼 프로그램은 다음과 같습니다. tcpd

— TJ 루 오마
소스

나는 이것을 테스트하지는 않았지만 터미널에서 이것을 시도 할 것이다.

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

— 최대 Ried
소스

라우터 뒤에 있고 포트를 컴퓨터에 매핑하지 않은 경우 인터넷에서 SSH 액세스가 효과적으로 비활성화됩니다.

— 독일 사람
소스

네, 알고 있습니다. 불행히도 이것은 때로는 외부 IP가 있고 라우터가없는 네트워크에 연결되는 MacBook Pro 용이므로 실제로는 해결책이 아닙니다.

— Michal M

매우 가능성이 낮으며 네트워크 어댑터가 하나만 있다고 가정하면 공용 IP 주소가 바인딩되어 있으면 '로컬'네트워크가 없음을 의미합니다.

— Gerry

그렇지 않더라도, 실제로 중요하지 않습니까? 외부 IP 상황 외에도 공용 WiFi 네트워크를 고려하십시오. 어떤 네트워크가 안전한지 알고 있으며 이러한 네트워크에만 액세스를 제한하고 싶습니다. 내 의도는 조금 더 일반적인 질문입니다.

— Michal M

나는 그때 그 질문을 되풀이하는 것이 좋습니다. 방화벽의 일부 서비스에 대해 (일부) IP 범위를 화이트리스트하려고하는 것처럼 들립니다.

— Gerry

제안 된대로 완료하십시오. 건배.

— Michal M