SSHD ListenAddress para ouvir apenas em 10.0.0.0/8 e 172.16.0.0/12 e 192.168.0.0/16

ListenAddressnão se trata de endereços de clientes dos quais o servidor ssh aceitará conexões, trata-se de quais endereços da máquina servidora sshd responderá, ou em outras palavras, por quais endereços ele poderá ser acessado (é claro, ignorando o NAT).

Por exemplo, se o seu servidor tiver 3 interfaces de rede com estas interfaces IPv4:

Sendo ListenAddress 0.0.0.0(o padrão) 0.0.0.0o endereço IPv4 INADDR_ANY, ele aceitará qualquer conexão através de qualquer uma de suas interfaces para qualquer um desses endereços locais.

Com ListenAddress 127.0.0.1, somente conexões com 127.0.0.1 na interface de loopback serão aceitas.

Com ListenAddress 10.0.1.2, serão aceitas apenas conexões para esse endereço, mas de qualquer cliente, independente do seu próprio endereço IP.

Para filtrar com base nos endereços IP de origem do cliente , você pode usar:

• sshdAllowUsers *@10.0.0.0/8 *@172.16.0.0/12 *@192.168.0.0/16
• sshd's Match Host, Match Addresspara regras mais detalhadas
• se construído com suporte a wrapper tcp, controle-o via/etc/hosts.{allow,deny}
• se o suporte PAM estiver habilitado, você poderá fazer isso no nível PAM através do pam_accessmódulo e/etc/security/access.conf

Embora o mais seguro seja fazê-lo no nível do firewall do host, para que as conexões não cheguem sshd.