「リモートログイン」(ssh)アクセスを特定のIP範囲のみに制限する方法は?


20

インターネット全体ではなく、特定のIP範囲(ローカルネットワークなど)のみにSSHアクセスを制限する方法を教えてください。これはファイアウォール経由で行う必要があると思います。

回答:


23

からman sshd

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secureはこれらの例を提供します:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Mac OS XのTCPラッパープログラムは次のとおりです。 tcpd


3

私はこれをテストしませんでしたが、ターミナルでこれを試してみました:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

1

ルーターの背後にいて、ポートをコンピューターにマップしなかった場合、インターネットからのSSHアクセスが事実上無効になります。


はい、私はそれを知っています。残念ながら、これは実際には解決策ではありません。これは、MacBook Proが外部IPを介してネットワークに接続し、ルーターを介さないことがあるためです。
ミハルM

1
ネットワークアダプタが1つしかない場合、パブリックIPアドレスがバインドされている場合、「ローカル」ネットワークがないことを意味します。
ジェリー

ありそうでなくても、本当に重要ではありませんか?外部IPの状況とは別に、パブリックWiFiネットワークを検討してください。自分にとって安全なネットワークを知っているので、これらのネットワークのみにアクセスを制限したいと思います。私の質問は少し一般的ですが、それは私の意図でした。
ミハルM

質問を言い換えることをお勧めします。ファイアウォールの一部のサービスの(一部の)IP範囲をホワイトリストに登録しようとしているように聞こえます。
ジェリー

提案どおりに完了。乾杯。
ミハルM
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.