Wie kann der Zugriff auf "Remote Login" (ssh) auf bestimmte IP-Bereiche beschränkt werden?

Kann mir bitte jemand sagen, wie man den SSH-Zugriff nur auf bestimmte IP-Bereiche (z. B. lokales Netzwerk) und nicht auf das gesamte Internet beschränkt? Ich denke, dies muss über eine Firewall erfolgen.

Von man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure bietet folgende Beispiele:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Das TCP-Wrapper-Programm unter Mac OS X lautet: tcpd

Ich habe das nicht getestet, aber ich würde es im Terminal versuchen:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

Wenn Sie sich hinter einem Router befinden und den Port nicht Ihrem Computer zugeordnet haben, wird der SSH-Zugriff aus dem Internet deaktiviert.