Existem várias maneiras de você conseguir isso, mas vou lhe dizer o que faço para meus clientes.
Dependendo da maneira como você deseja realizar isso (eu uso VLANs / sub-redes, ACLs e grupos de segurança), normalmente faço um grupo de segurança de rede (geralmente no firewall / switch / roteador com o qual estou trabalhando) consiste no intervalo de IPs, no grupo de servidores ou nos objetos de rede aos quais estarei permitindo acesso, e depois uso ACLs para restringir o tráfego.
Por exemplo, digamos que você esteja permitindo que esses servidores que você mencionou acima se conecte por meio de SSH (porta TCP 22) a seus servidores em uma base interna / externa; ou seja, os servidores que você mencionou acima são externos, ou fora de sua LAN, e os servidores que você está permitindo que eles façam SSH em ARE em sua LAN. Você criaria um grupo de objetos em seu firewall e o chamaria de clientes SSH externos e colocaria todos os IPs externos / públicos desses servidores nesse grupo. Em seguida, você criaria outro grupo no firewall para os servidores residentes em sua LAN interna que eles poderiam acessar e chamá-lo como SSH de Servidores Internos Permitidos. Em seguida, você criaria uma ACL que permitiria o tráfego dos clientes externos para os servidores internos. Então, por exemplo, sua ACL seria algo como isto:
Fonte: Clientes SSH externos
Destino: Servidores Internos SSH Permitidos
Protocolo / Porta: SSH / 22
Permitir / Negar: permitir
Se fosse um firewall ou algum dispositivo como esse, você colocaria essa regra acima da sua regra de negação implícita (uma regra para negar implicitamente todo o tráfego, a menos que seja explicitamente permitido), que geralmente é a última regra de uma ACL. que entraria em vigor antes de qualquer negação.
Esse cenário é considerado apenas como proveniente de um conjunto público de IPs ou clientes fora de sua rede para um grupo interno de servidores em sua rede local por SSH. Há muitas outras maneiras de conseguir isso e outros cenários; talvez você esteja se perguntando como fazer isso internamente, onde todos os servidores são locais ou na sua LAN e, nesse caso, não é muito diferente. Eu apenas tentei lhe dar a mentalidade básica de como você conseguiria isso. Deixe-me saber se alguma coisa não faz sentido e posso esclarecer mais com detalhes.