除非该 IP 地址属于实现额外安全性的专用管理网络，否则这是一种资源浪费。

显然，这两个 IP 最终都在同一台服务器上。这意味着，除非它们通过不同的网络（即实施额外保护的管理网络）进入，否则在一个 IP 或另一个 IP 上与 SSH 的连接在本地没有区别：您可以以完全相同的方式对它们进行防火墙保护（如果你愿意的话）并且它不会在日志中或多或少地变得明显。

您唯一要“隐藏”的是 SSH 服务器和 Web 服务器之间的关系，除非您获取帐户名称的程序非常糟糕，否则这无关紧要。

但是，如果您使用的是专用管理网络，情况就不同了：这样的网络可能要求所有连接都经过安全身份验证阶段，并对连接方施加额外限制（例如，您可以要求它们在物理上连接到网络，或通过需要2FA并确保您的客户端“干净”的 VPN）。

你基本上是对的。这是混淆。混淆并非没有价值，但你不应该依赖它。

第一个答案是正确的，顺便说一句，在单独的网络（即，不是互联网）上托管管理服务（如 SSH）是一种很好的做法。

这有点像将 SSH 移动到不同的端口。你只是隐藏了一些东西（很差），这不应该是依赖系统安全性的东西。它可能会甩掉真正不知道自己在做什么的攻击者（如果设置正确，他们无论如何都不会进入 ssh），但否则毫无用处。

部署了 fwknop 后，任何使用 nmap 查找 SSHD 的人甚至都无法判断它正在侦听 - 如果他们想要针对 SSHD 运行密码破解程序，或者即使他们有 0-day 漏洞利用，也没有什么区别。

我这里有一些使用注意事项fwknop。我也可以在没有外部开放端口的情况下ssh进入后面的容器。NAT