Restrinja o SSH a uma interface

10

Como posso restringir a solicitação de conexão SSH recebida a apenas uma interface? Estou usando o Ubuntu Server 10.04 LST.

Desejo bloquear o acesso ao SSH a apenas uma interface porque uso o servidor como um gateway para minha rede doméstica. Uma interface está conectada ao modem / roteador DSL e a outra está conectada à rede doméstica. Eu só quero permitir o acesso ao formulário SSH dentro da rede doméstica.

Restringir o SSH a um IP neste caso é suficiente? Ou tenho que bloqueá-lo em uma interface?

ubuntu ssh sshd network-interface wowpatrick
fonte
11
Você pode ser mais claro com o que você entende por "para apenas uma interface"? Você quer dizer que a máquina possui mais de um endereço IP e deseja que o SSH escute apenas um endereço IP? Ou você quer que os pacotes de entrada para a porta SSH em outras interfaces sejam descartados? (Seu pedido é muito incomum e é possível que você está fazendo a pergunta errada.)
David Schwartz
@DavidSchwartz Pedi restrição de interface porque não tinha certeza se é suficiente restringir o acesso SSH a apenas um IP. Também completei minha pergunta com mais detalhes.
Wowpatrick

Respostas:

12

No seguinte arquivo:

 /etc/ssh/sshd_config

Você verá uma linha como:

#ListenAddress 0.0.0.0

Isso está comentado, mas é o padrão, para listar em todos os endereços IP para solicitações ssh. Você pode alterar isso para que ele seja o endereço IP da interface na qual você deseja aceitar conexões e que apenas esse endereço IP aceite conexões ssh:

ListenAddress 111.222.111.222

Reinicie o serviço sshd uma vez alterado.

Paulo
fonte
4
Isso não restringirá as interfaces nas quais o SSH pode operar, apenas o endereço IP de destino. (Isso pode ser o que o OP realmente queria Mas isso não é o que pediu o OP..)
David Schwartz
@DavidSchwartz obrigado - você pode esclarecer? Se um endereço IP estiver vinculado a uma interface, outra interface poderá aceitar uma conexão com essa configuração de alguma forma (suponho que, se o encaminhamento foi ativado, pode funcionar).
Paul
@DavidSchwartz ah, vejo o seu comentário acima.
Paul
11
O encaminhamento refere-se apenas a um pacote recebido em uma interface que deve ser transmitida por outra. Não é necessário aceitar um pacote recebido em uma interface diferente daquela para a qual seu endereço de destino está atribuído. O Linux usa um modelo em que os endereços IP pertencem ao sistema, não às interfaces - todas as interfaces conectam um único host.
David Schwartz
2

Tente instalar um firewall e permita apenas SSH em uma interface. Minhas preferências é Shorewall, que é um pacote instalável no Ubuntu. Você precisará configurá-lo antes de iniciar, mas está bem documentado e vem com vários exemplos de configurações.

Eu uso um firewall principalmente fechado com apenas as portas necessárias abertas. Se tudo o que você deseja é limitar a interface SSH permitida, é possível usar uma ação REJECT ou DROP para ssh nas outras interfaces. Eu sugeriria que, se você estivesse criando um firewall, pelo menos limite o acesso às interfaces voltadas para a Internet.

BillThor
fonte