Насколько мне известно, SSH сам по себе не проверяет исходные IP-адреса ни при каких обстоятельствах (их все равно можно подделать). Таким образом, вам, вероятно, придется использовать фильтр пакетов на B (например, iptables) и настроить его так, чтобы входящие TCP-пакеты с портом назначения 1235 должны были иметь адрес B в качестве исходного.
Насколько полностью вы хотите заблокировать доступ к консоли? Если это нужно только тогда, когда система запущена и работает, вы можете просто отключить запуск getty. Посмотрите /etc/init/console.conf и /etc/init/tty?.conf. Если вы хотите убедиться, что никто не перезагружается с живого компакт-диска, лучше всего смазать порты USB эпоксидной смолой и извлечь компакт-диск из системы.