Ich möchte meinen SSH Server gerne so einstellen dass sich vom LAN aus jeder inklusive root anmelden kann und vom Internet auf gar keinen Fall root, besser wär noch wenn ich auch die anderen Benutzer einschränken könnte die sich aus dem Internet anmelden dürfen. Wie kann ich das machen?

Ich hab das mit ipchains gelöst:
#SSH
$IPCHAINS -A input -p tcp -s 192.168.1.1/24 -d $OUTERNET 22 -j ACCEPT

somit können nur User die dem Lan angehören ssh verwenden.

Vielleicht wäre es auch ne Lösung den ssh-server über die inetd laufen zu lassen, dann wäre die IP-Zigriffskontrolle ein Kinderspiel(TCP-Wrapper).
Hab mich damit noch nicht beschäftgt, werd ich aber aufgrund deines quotings beizeiten mal ausprobieren.

Tip: Vieles (auch ssh-server) lässt sich übrigens auch mit webmin (http://www.webmin.com/webmin/) über Browser konfigurieren

Sorry, das ist leider gar nicht das was ich will, außerdem lässt sich das sauberer erreichen. Meine Frage war ja bestimmte User nur im LAN zu erlauben, damit z.b. nach außen hin kein root Login für einen Brute Force Crack offen steht. Das Problem hab ich jetzt folgendermaßen gelöst:
Ich hab für root einen RSA Key erzeugt mit ssh-keygen. Dann hab ich den Public Key nach authorized_key kopiert und im sshd bei root login without-password eingestellt. Nun braucht man den Private Key und die Passphrase um sich als root anzumelden. Solange also niemand in den Besitz des Private Key kommt kann er auch keinen Brute Force Crack versuchen. Die Lösung ist zwar nicht optimal, aber schonmal ganz ordentlich. Wenn jemandem noch was besseres einfällt, posten.