> Если у вас интерфейс один, тогда можно завесить демоны на разные порты
> (например 22/23) а на NAT-сервере/устройстве сделать правило переброса (Internet IP, port
> 22) -> (Server sshd port 23).Как таковой, проблемы в доведении до ssh того факта, что к нему стучатся из внешней сети нет (алиасы ethX:Y, vlan, port-map), теоретически было интересно управиться одним демоном, который бы определял разные границы аутентификации, о чем и вопрос был. Может, надо покопаться в pam (там я не силен) или есть какая-то группа опций для конкретной маски ip - это было бы интересно...
Спасибо за ответ!