Hallo,
ich benutze SUSE 9.3 als Server hinter einem Consumer DSL Router. Auf dem Router habe ich ein Port-Forwarding auf den Port 22 (ssh) des Servers eingerichtet um von außerhalb auf den Rechner zugreifen zu können. Zugriffe von außerhalb erfolgen immer aus zwei IP-Netzen, so daß er mir sinnvoll erscheint alle anderen IP-Bereiche zu sperren.
Als Ansatzpunkt sehe ich die Konfiguration des ssh Dienstes oder die der SuSEFirewall2.
Der Rechner bietet verschiedene Dienste (ssh, NFS, Samba, Cups) für das interne Netz an. Die Konfiguration der Firewall ist mir jetzt nicht ganz klar: Es gibt keinen Unterschied zwischen dem Interface für das interne und externe Netz (beide eth0). Das interne Netz ist vielmehr 192.168.0.0/24 und das externe Netz alles andere. Lediglich der ssh zugriff soll noch aus den Netzen a.b.c.0/23 und a.b.d.0/24 möglich sein.
Evtl. ermöglicht der Punkt (17) FW_TRUSTED_NETS eine Lösung. Hier sehe ich aber den Nachteil, daß ich hier auch mein internes Netz behandeln müßte. Gibt es einen anderen Lösungsansatz?
Und ist es möglich sshd entsprechend zu konfigurieren, so daß der Zugriff nur aus den drei Netzen zulässig ist?
ich benutze SUSE 9.3 als Server hinter einem Consumer DSL Router. Auf dem Router habe ich ein Port-Forwarding auf den Port 22 (ssh) des Servers eingerichtet um von außerhalb auf den Rechner zugreifen zu können. Zugriffe von außerhalb erfolgen immer aus zwei IP-Netzen, so daß er mir sinnvoll erscheint alle anderen IP-Bereiche zu sperren.
Als Ansatzpunkt sehe ich die Konfiguration des ssh Dienstes oder die der SuSEFirewall2.
Der Rechner bietet verschiedene Dienste (ssh, NFS, Samba, Cups) für das interne Netz an. Die Konfiguration der Firewall ist mir jetzt nicht ganz klar: Es gibt keinen Unterschied zwischen dem Interface für das interne und externe Netz (beide eth0). Das interne Netz ist vielmehr 192.168.0.0/24 und das externe Netz alles andere. Lediglich der ssh zugriff soll noch aus den Netzen a.b.c.0/23 und a.b.d.0/24 möglich sein.
Evtl. ermöglicht der Punkt (17) FW_TRUSTED_NETS eine Lösung. Hier sehe ich aber den Nachteil, daß ich hier auch mein internes Netz behandeln müßte. Gibt es einen anderen Lösungsansatz?
Und ist es möglich sshd entsprechend zu konfigurieren, so daß der Zugriff nur aus den drei Netzen zulässig ist?
