SSH, локалка, фильтр

openvpn же.

>например, может посылать пакеты от чужого IP или просто хитрый юзер >сменить IP своего компа на разрешенный

Если все сидит в одном сегменте то поможет фильтрация по мак адресу:

iptables -A INPUT -p tcp -i eth1 --destination-port 22 -m mac --mac-source 00:18:8B:C4:9C:8E -j ACCEPT

А тут же можно указать -s ипадрес чтоб уж наверняка?
MAC-адрес, я так понимаю, узнавать nmap-ом (или другой утилитой название которой узнать по apropos arp mac)...

мак на нужный хитрому юзеру очень легко сменить, так что не вариант

>А тут же можно указать -s ипадрес чтоб уж наверняка?

Можно, но я не совсем понял смысл. Ведь у ssh есть пароль. И можно разрешить вход в систему только определенным пользователям.

Таки авторизация по ключам решает. И таки нормальная настройка фаервола и свитчей, чтоб "вирусы" не могли сменить ip. arpwatch в помощь.

а не лучше виндовых юзеров сделать просыми юзерами, а не локальными админами, тогда ип сменить не получится, да и вирусам жить станет гораздо хуже.

А еще лучше винду заменить на GNU/Linux где можно. В общем-то этим и занимаемся...

Разрешить ssh авторизацию только по ключам и никакой возни с iptables, очевидно же