主页 / unix / 问题 / 782029
Accepted
peterK88
Asked: 2024-08-16 22:16:31 +0800 CST

SSHD ListenAddress 仅监听 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16

  • 772
$ grep ListenAddress /etc/ssh/sshd_config
ListenAddress 0.0.0.0
$

这只会在 IPv4 上监听。

问题是:它如何才能仅在 10.0.0.0/8 和 172.16.0.0/12 和 192.168.0.0/16 上监听?

openssh

1 个回答

  1. Best Answer

    ListenAddress与 ssh 服务器将接受来自哪些客户端的地址无关,而是与 sshd 将在服务器机器的哪个地址上应答有关,或者换句话说,它可以通过哪些地址访问(当然忽略 NAT)。

    例如,如果您的服务器有 3 个网络接口,并且具有以下给定的 IPv4 接口:

    界面 IP 地址 网络掩码
    127.0.0.1 255.0.0.0
    eth0 10.0.1.2 255.0.0.0
    eth1 192.168.1.1 255.255.255.0

    使用ListenAddress 0.0.0.0(默认值)0.0.0.0作为 INADDR_ANY IPv4 地址,它将通过其任何接口接受到任何本地地址的任何连接。

    使用ListenAddress 127.0.0.1,仅接受到环回接口上的 127.0.0.1 的连接。

    使用ListenAddress 10.0.1.2,仅接受到该地址的连接,但任何客户端均可接受,无论其自己的 IP 地址是什么。

    要根据客户端源 IP 地址进行过滤,您可以使用:

    • sshd 的AllowUsers *@10.0.0.0/8 *@172.16.0.0/12 *@192.168.0.0/16
    • sshd Match HostMatch Address用于更细粒度的规则
    • 如果使用 tcp 包装器支持,则可以通过以下方式控制它/etc/hosts.{allow,deny}
    • 如果启用了 PAM 支持,您可以通过pam_access模块在 PAM 级别执行此操作,并且/etc/security/access.conf

    但最安全的方法是,在主机防火墙级别进行此操作,这样连接就sshd根本无法到达。

    • 5

相关问题