Comment restreindre l'accès «Connexion à distance» (ssh) à seulement certaines plages IP?

Quelqu'un peut-il me dire comment restreindre l'accès SSH uniquement à certaines plages IP (par exemple, un réseau local) et non à tout Internet? Je suppose que cela doit être fait via un pare-feu.

De man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure propose ces exemples:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Le programme wrapper TCP sous Mac OS X est: tcpd

Je n'ai pas testé cela, mais j'essaierais ceci dans le terminal:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

Si vous êtes derrière un routeur et que vous n'avez pas mappé le port à votre ordinateur, cela désactive efficacement l'accès SSH depuis Internet.