Bagaimana cara membatasi akses "Remote Login" (ssh) hanya rentang IP tertentu?

Dapatkah seseorang tolong beri tahu saya cara membatasi akses SSH hanya ke rentang IP tertentu (mis. Jaringan lokal) dan bukan seluruh Internet? Saya kira ini harus dilakukan melalui firewall.

Dari man sshd:

/etc/hosts.allow
/etc/hosts.deny
Access controls that should be enforced by tcp-wrappers are defined here.  
Further details are described in hosts_access(5).

https://debian-administration.org/article/87/Keeping_SSH_access_secure menawarkan contoh-contoh ini:

# /etc/hosts.allow
sshd: 1.2.3.0/255.255.255.0
sshd: 192.168.0.0/255.255.255.0

# /etc/hosts.deny
sshd: ALL

Program pembungkus TCP di Mac OS X adalah: tcpd

Saya tidak menguji ini, tetapi saya akan mencoba ini di terminal:

sudo ipfw add allow src-ip 10.0.0.0/8,172.16.0.0/16,192.168.0.0/16 dst-ip me dst-port 22
sudo ipfw add reject src-ip any dst-ip me dst-port 22

Jika Anda berada di belakang router dan tidak memetakan port ke komputer Anda, itu secara efektif menonaktifkan akses SSH dari internet.