pfsense: sshd auf zwei Ports

Möchte man auf Firewalls sich eine „Not-Türe“ offen lassen, mit der es sich auch per SSH verbinden lässt, wenn z.B. das VPN down ist, tut man gut daran SSH auf einen separaten Port (>1024) zu legen, da der Standard SSH-Port 22 sehr häufig gescannt wird.
Am idealsten ist es nebst dem Standard-Port noch einen zusätzlichen, alternativen Port zu konfigurieren. Dann kann man nämlich beispielsweise den Standard-Port nur von den internen Netzen zu lassen und von aussen nur den alternativen Port, auf dessen Zugriff man gff. auch genauer Protokollieren kann.

Leider geht dies mit pfsense standardmässig nicht – Mit einem kleinen Hack in der Konfiguration ist es aber möglich.Um in pfsense einen alternativen, zusätzlichen Port zu konfigurieren, loggt man sich per SSH ein und öffnet die Datei: /etc/sshd. Dies ist das pfsense interne Script, welche die Konfiguration „zusammenstellt“ und in /etc/ssh/sshd_config schreibt.

Dort die Zeile:

$sshport = $config['system']['ssh']['port'];

suchen und unterhalb die folgende Zeile einfügen:

$sshport .= "\nPort 1234";

Der ganze Block sollte nun so aussehen:

if (is_array($config['system']['ssh']) && !empty($config['system']['ssh']['port'])) {
        $sshport = $config['system']['ssh']['port'];
        $sshport .= "\nPort 1234";  /* Alternate Port */
} else {
        $sshport = 22;
}

Nun die Datei speichern und ausführen:

[root@pfsense]/: /etc/sshd
stopping ssh process 9999
done.

Und schon hat man sshd auf einem zusätzlichen Port!

Published by

Steven Varco

Steven ist ein Redhat RHCE-Zertifizierter Linux-Crack und ist seit über 20 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.