Comment restreindre l'accès «Connexion à distance» (ssh) à seulement certaines plages IP?


20

Quelqu'un peut-il me dire comment restreindre l'accès SSH uniquement à certaines plages IP (par exemple, un réseau local) et non à tout Internet? Je suppose que cela doit être fait via un pare-feu.

Réponses:


23

De man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure propose ces exemples:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Le programme wrapper TCP sous Mac OS X est: tcpd


3

Je n'ai pas testé cela, mais j'essaierais ceci dans le terminal:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

1

Si vous êtes derrière un routeur et que vous n'avez pas mappé le port à votre ordinateur, cela désactive efficacement l'accès SSH depuis Internet.


Oui, j'en suis conscient. Malheureusement, ce n'est pas vraiment une solution pour moi car c'est pour mon MacBook Pro qui est parfois connecté à des réseaux avec IP externe et sans routeur entre les deux.
Michal M

1
Cela semble très improbable, et en supposant que vous n'avez qu'une seule carte réseau, cela impliquerait qu'il n'y a pas de réseau «local» si une adresse IP publique lui est liée.
Gerry

Peu probable ou non, cela n'a pas vraiment d'importance, n'est-ce pas? En dehors de la situation IP externe, considérez les réseaux WiFi publics. Je sais quels réseaux sont sûrs pour moi et j'aimerais restreindre l'accès à ces seuls réseaux. Ma question est un peu plus générique, mais c'était mon intention.
Michal M

Je suggère alors de reformuler la question. On dirait que vous cherchez à mettre sur liste blanche (certaines) plages IP pour certains services du pare-feu.
Gerry

Fait comme suggéré. À votre santé.
Michal M
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.