Ограничение доступа к ssh по ip

Купил у провайдера статический ip и решил разрешить доступ к ssh только лишь с этого ip. Преимущества очевидны: никто, кроме меня, не сможет подключиться по ssh к вашему серверу. Никто не сможет подбирать пароли. И fail2ban становится не нужен. :) Короче, от статического ip одни сплошные плюсы.

Способ первый. Указание разрешённых ip в файле /etc/hosts.allow. Пропишите в нём следующую строку:

SSHD: 127.0.0.1

127.0.0.1 замените на свой ip адрес.

Откройте следующий файл — /etc/hosts.deny и пропишите там это:

SSHD: ALL

Теперь перезагрузите ssh командой service ssh restart.

Второй способ. Ограничение доступа по ip посредством iptables.

Если у вас открытый файерволл, то нужно разрешить доступ только со своего ip и закрыть для остальных. 127.0.0.1 заменяем на свой ip.

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j accept
iptables -A INPUT -p tcp --dport 22 -j DROP

Если файерволл закрыт, то нужно только разрешить доступ себе.

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j accept

В обоих вариантах 127.0.0.1 нужно заменить на свой ip.

Оцените статью
Добавить комментарий для Сергей Отменить ответ

  1. palexa

    :-x Когдато стоял ASPLinux такое работало, щас поставил CentOS — неработает

    Ответить
    1. rusadmin автор

      Видимо, в центос работает как-то по-другому. Написано, как сделал в дебиане.

      Ответить
  2. palexa

    Невероятно, но факт
    До этого редактировал файлы по sshd
    Всё пофигу

    Зашёл на сервер, ЛОКАЛЬНО под иксами, отредактировал файл заново
    Итог: Все ЗАРАБОТАЛО

    Бывают чудеса

    Ответить
    1. rusadmin автор

      Ну, это можно объяснить только тем, что для текущего соединения не были применены новые параметры. А для нового должно было заработать.

      Ответить
  3. Rafael

    А вот так будет работать?
    1.SSHD: 127.0.*.*

    Ответить
    1. rusadmin автор

      Нет. Скорее 127.0.0.1/8.

      Ответить
    2. Сергей

      только что добавил 127.0.*.* в ssh
      работает. в centos

      Ответить
  4. Юрий

    nano /etc/apache2/conf-enabled/phpmyadmin.conf

    вставить
    Order deny,allow
    deny from all
    # Список IP через пробел, с которых доступ разрешен
    Allow from 192.168.88.1

    Ответить
  5. YAHOO

    что делать если ип изменился? как получить доступ в этом случае?

    Ответить
  6. mimoprohodil

    в правиле iptables слово accept большими буквами, написанный вами вариант ошибку выдаст (Couldn’t load target `accept’:No such file or directory)

    Ответить