Möchte man auf Firewalls sich eine „Not-Türe“ offen lassen, mit der es sich auch per SSH verbinden lässt, wenn z.B. das VPN down ist, tut man gut daran SSH auf einen separaten Port (>1024) zu legen, da der Standard SSH-Port 22 sehr häufig gescannt wird.
Am idealsten ist es nebst dem Standard-Port noch einen zusätzlichen, alternativen Port zu konfigurieren. Dann kann man nämlich beispielsweise den Standard-Port nur von den internen Netzen zu lassen und von aussen nur den alternativen Port, auf dessen Zugriff man gff. auch genauer Protokollieren kann.
Leider geht dies mit pfsense standardmässig nicht – Mit einem kleinen Hack in der Konfiguration ist es aber möglich.Um in pfsense einen alternativen, zusätzlichen Port zu konfigurieren, loggt man sich per SSH ein und öffnet die Datei: /etc/sshd. Dies ist das pfsense interne Script, welche die Konfiguration „zusammenstellt“ und in /etc/ssh/sshd_config schreibt.
Dort die Zeile:
$sshport = $config['system']['ssh']['port']; |
suchen und unterhalb die folgende Zeile einfügen:
$sshport .= "\nPort 1234"; |
Der ganze Block sollte nun so aussehen:
if (is_array($config['system']['ssh']) && !empty($config['system']['ssh']['port'])) { $sshport = $config['system']['ssh']['port']; $sshport .= "\nPort 1234"; /* Alternate Port */ } else { $sshport = 22; } |
Nun die Datei speichern und ausführen:
[root@pfsense]/: /etc/sshd stopping ssh process 9999 done. |
Und schon hat man sshd auf einem zusätzlichen Port!