SSH nur über Public IP erlauben

[MSfree]

Ich meinte wenn z. B. hier in diesem konkreten Fall, die Internetverbindung unterbrochen wird und somit auch die gerade vorhandene Verbindung zwischen dem ssh-Client und dem sshd-Server unterbrochen wird.

Das wäre in der Tat ungemütlich, wenn du dich in eine Konfigurationssackgasse manövriert hättest.

Weiter ober wurde ja schon angesprochen, einen weiteren Kanal, wie z.B. OpenVPN zumindest temporär zu öffnen, über den man sich via telnet noch am Rechner einloggen kann. Da telnet hier über VPN läuft, wäre es verschlüsselt und verhältnismässig sicher. Allerdings sollte man es vermeiden, telnet nach aussen zu öffnen und ausschließlich durch den VPN-Tunnel erlauben.

Eine weitere Möglichkeit wäre, telnet via SSL zu fahren, um einen zweiten Kanal in der Hinterhand zu haben.

[wanne]

ICh würde ganz gern noch darauf aufmerksam machen:
Ist das GW eine NAT box, kannst du dich da meistens einfach so naten lassen – auch aus dem Internen Netz: Du änderst einfach die Netzwerkmaseke und alles läuft über das GW auch der Interne Traffic. Und weil NAT ja dazu führt, dass es für den Empfänger so aussieht als käme die Verbindung von der NAT box ist dann alles gut.
Daneben gibt es noch IPv6. Das erschlägt deine iptables Regel nicht. Auch die SSH-config würde ich da mal updaten.

[mat6937]

Daneben gibt es noch IPv6. Das erschlägt deine iptables Regel nicht.

OK, aber man kann den sshd ja so konfigurieren, dass nur "AddressFamily inet" genutzt wird oder wenn man inet und inet6 hat, kann man ip6tables für evtl. Einschränkungen nutzen.

[wanne]

kann man ip6tables für evtl. Einschränkungen nutzen.

Ja. Darauf wollte ich halt aufmerksam machen. Ist kein Hexenwerk. Wird aber ganz gerne mal vergessen. Habe mir deswegen nen alias ipt gelegt, der immer gleich iptables und ip6tables ausführt. Wobei bei dir müssen ja eh Adressen angepasst werden.

Ansonsten habe ich die NAT problematik ja genannt.