SSH server auf verschiedenen port laufen und auf bestimmte ips bregenzen.

[blub4747]

Hi,

Ich versuche folgende auf einer Linux Kiste mit zwei IPs zum laufen zu bekommen.
auf der der einen IP sagen wir mal 192.168.1.1 soll SSH auf Standard port 22 laufen.
und auf der anderen IP 192.168.8.1 soll SSH nur auf port 2345 laufen.

Nun glaube habe, das ich auf folgenden link

Example: I would like to use 12345 as another ssh port, add it as shown below.
http://viewsby.wordpress.com/2012/09/26/enable-multiple-ssh-ports-linux/

schon die erst Antwort gefunden.
Allerdings wie kann man dann die Ports auf den entsprechenden IPs, entsprechend sperren?
Thx,blub 4747

 

[LieberNetterFlo]

sshd_config Datei öffnen und bearbeiten wie? da hilft das Manual hier der entsprechende Auszug:

ListenAddress
             Specifies the local addresses sshd(8) should listen on.  The
             following forms may be used:

                   ListenAddress host|IPv4_addr|IPv6_addr
                   ListenAddress host|IPv4_addr:port
                   ListenAddress [host|IPv6_addr]:port

             If port is not specified, sshd will listen on the address and all
             prior Port options specified.  The default is to listen on all
             local addresses.  Multiple ListenAddress options are permitted.
             Additionally, any Port options must precede this option for non-
             port qualified addresses.

du brauchst dann da zwei Einträge:

ListenAddress 192.168.1.1
ListenAddress 192.168.8.1:2345

 

[blub4747]

Aaahh coole sache!
und ich hatte schon gedacht das ich IP tables erstellen muss.
Vielen dank fuer die Flotte antwort!

 

[LinuXfr3ak]

Mit iptables

iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j DROP

Das Interface musst du eben noch entsprechend anpassen. Wichig ist auch noch das die einstellung nach einem neustart verloren geht - solltest das ganze also z.B. in die /etc/rc.local reinschreiben damit das ganze bei jedem Serverneustart wieder geblockt wird

 

[blub4747]

Vielen Dank!

 

[Silent1337]

Mit iptables

iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j DROP

Was hat das für einen Sinn? Wenn auf Port 22 nix läuft, braucht man da auch nichts droppen.

 

[iceview]

Geht das mit Listen Adress auch mit IP Ranges? Dann könnte man es bequem auf z.B. einen VPN Adressbereich festlegen.
ListenAddress 192.168.1.0/24 oder sowas?

 

[derJD]

Geht das mit Listen Adress auch mit IP Ranges? Dann könnte man es bequem auf z.B. einen VPN Adressbereich festlegen.
ListenAddress 192.168.1.0/24 oder sowas?

Nee das geht nicht. sshd kann nur auf deine lokalen IP-Adressen lauschen (ip von eth0, ip von eth1....) oder auf alles (0.0.0.0), nicht aber auf Netzbereiche.

 

[mensch183]

"man listen" um herauszubekommen, wofür die ListenAddress ist.

Die Einschränkung auf Verbindungen nur von bestimmten Hosts, die iceview will, würde man mit tcpwrapper und /etc/hosts.allow machen, wenns für den ganzen Server gelten soll, oder mit "from=..." pro Key bei public key auth oder mit AllowUsers/AllowGroups pro Nutzer bzw. Nutzergruppe. (bla@*.ganzlieb.tld,192.168.0.* oder sowas)