De acordo com esta resposta do ServerFault , por algum motivo desconhecido, você precisa adicionar uma correspondência de caractere curinga para fazer isso . A notação CIDR, no entanto, parece funcionar. Por exemplo:
Match Address *,!192.168.1.0/24
ForceCommand /bin/false
Isso funciona para mim com o OpenSSH 5.9p1.