IP限制sshd有漏洞嗎？

假設我只想在我的專用網路上允許使用者名/密碼登錄，但將所有外部資源限制為密鑰/證書登錄。我會做這樣的事情：

RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no

Match Address 10.0.0.*
   PasswordAuthentication yes

但是有沒有一種方法可以讓攻擊者能夠欺騙這個以出現在我的本地 IP 範圍內並被允許從 Internet 登錄使用者名/密碼？

IP Spoofing是一種攻擊者使用偽造的 IP 源地址來隱藏發送者身份或冒充另一個計算系統的技術。

然而，這種攻擊幾乎“不可能”來自網際網路，因為RFC1918定義了以下僅在 LAN 環境中使用的塊：

網際網路號碼分配機構 (IANA)

為私有網際網路保留了以下三個 IP 地址空間塊：

 10.0.0.0        -   10.255.255.255  (10/8 prefix)
 172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

這也意味著網際網路上的 ISP 不會將這些請求路由回攻擊者，如果他以某種方式從您的區域網路中偽造一個 IP 地址。

由於安全層永遠不夠，而且如果您可以控制防火牆，或者如果這台機器直接連接到網際網路介面，我建議您在 Linux中啟用反向路徑過濾：

# sysctl -w net.ipv4.conf.all.rp_filter = 0
# sysctl -w net.ipv4.conf.default.rp_filter = 0

這將使您的核心自動丟棄顯然不屬於它們試圖進入的介面的同一子網的包。

引用自：https://unix.stackexchange.com/questions/157406