SSH auf bestimmte IP Range begrenzen

[iceview]

Hallo zusammen,

ist es möglich den SSH Server auf eine bestimmt IP Range zu begrenzen?
Ich möchte den Shell Zugang nicht "offen" nach außen stellen, daher muss sich vorher über IPSec zu unserer Firewall verbunden werden.

Die IP Range des Tunnels würde ich dann gerne als erlaubte IP Range nutzen.

In der /etc/ssh/sshd_confug steht ja zumindest drinne:

ListenAdress <IPv4> --> kann ich hier eine Range eintragen?

 

[Yuuri]

Nein das ist nur die Adresse des Interfaces, auf welche der Server auf Clients wartet.

 

[iceview]

Hm... wenn ich dies aber auf eine lokale IP lege, welche nur intern über das Firewall Routing erreicht werden kann, dann sollte das ja ausreichend sein.

 

[Yuuri]

Wenn du nur im Netzwerk Zugriff haben willst und den Server an ein Interface bindest, welches nur im Netzwerk erreichbar ist, dann funktioniert das natürlich. Aber hierbei kann dann auch jeder im Netzwerk darauf zugreifen.

 

[westef]

Hey,

eine weitere Möglichkeit bestünde darin, iptables auf dem SSH Server einzurichten und halt einfach nur bestimmte IPs zulassen.

 

[Labtec]

"man iptables"

 

[iceview]

Ist da nicht sinnvoller die Pakete vorher schon von der Firewall droppen zu lassen, dort werden ja quasi auch keine anderen Regelwerke definiert.

Also sinngemäß wäre die Konstrukte ja wie folgt:

Iptables auf Ubuntu administrieren:

WAN --> Firewall --> Server --> dropt nicht zugelassene Pakete


Regelwerk auf Firewall:

Deny any SSH --> Server
Allow <IP_Range> --> SSH --> Server --> LAN

Die Chance, dass sich jemand via VPN mit der Firewall verbinden kann ist ja ausgeschlossen. Zu den Zertifikaten müsste er ja auch noch Benutzername und Passwort kennen.

Korrigiert mich wenn ich mich irren sollte...

Danke

 

[NemesisFS]

iptables ist die firewall