Monter son répertoire d’accueil à travers un firewall
Posté le
mardi 7 octobre 2003 par
MIB
Lors qu’on travaille depuis plusieurs endroits, accèder à ses fichiers
qui sont dispersés sur différents serveurs à coups de FTP, rsync et
autres scp devient vite une véritable corvée.
Voilà une solution très simple à mettre en oeuvre qui aboutit au
montage, sur le poste de travail local sous Unix (par exemple au
labri), d’un répertoire d’accueil distant (par exemple celui du dept
info de l’iut, au hasard). Quand c’est fait, les données distantes
apparaissent dans un sous-répertoire.
Nécessaire :
– une liaison ssh
– sur le site local : les utilitaires smbclient et smbmount
– sur le site distant : un serveur samba Unix et/ou un serveur de fichiers
windows.
L’idée : le protocole CIFS (ex- SMB) se fait par une liaison TCP,
normalement sur le port 139 par défaut. Et normalement les firewalls
bien configurés interdisent l’accès direct au port 139, pour autant
d’ailleurs qu’on ait un routage vers le serveur de "partages". On
encapsule donc cette liaison dans un tunnel SSH, en faisant
ssh -L 9000:serveursamba:139 mon.site.distant.fr
On donne le mot de passe, et tout ça. (L’option -N permettrait de faire la redirection sans ouvrir de session)
On peut maintenant voir ce qu’il y a à l’autre bout par
smbclient -L //localhost -p 9000
(et mot de passe)
et pourquoi pas, monter mon répertoire d’accueil distant dans un répertoire
local
mkdir ~/repertoire
smbmount //localhost/mon-nom ~/repertoire -o port=9000
(mot de passe)
On peut même le faire pour un serveur Windows, avec quelques complications
smbmount //monserveur/partage ~/repertoire -o \
port=9000,workgroup=mondomaine,ip=localhost,iocharset=iso8859-1,codepage=cp850
3
commentaire(s)
-
Posté le 18 octobre 2003 à 13:58, par Michel Billaud (lien)
En complément, quelques considérations de sécurité :
Si vous faites le montage depuis une machine cliente sur laquelle d’autres utilisateurs se connectent, il est prudent
d’ajouter les options dmask=700,fmask=700.
La raison : tous les fichiers et répertoires que vous montez par SMB apparaissent dans votre répertoire avec les
mêmes droits d’accès. Il se peut que sur les serveurs distants, vous ayez aussi des fichiers dont vous souhaitez
rester le seul lecteur. Vous pouvez les lire sur la machine client, mais de là à permettre aux autres de les lire par dessus votre épaule sur le poste client... D’où les options indiquées, qui font de vous le seul lecteur potentiel (avec root).
Autre possibilité : utiliser un point de montage situé dans un répertoire à l’abri des visiteurs indiscrets.
repondre message
-
Posté le 30 juin 2005 à 14:04, par gcsr (lien)
Bonjour,
L’idée semble correspondre exactement à mes besoins : ayant le malheur de passer pour « celui qui sait » aux yeux de mes enfants/parents (+amis) répartis un peu partout en France et même outre-mer, je me suis toujours planté sur des tentatives de mise en place de moyens (hum, heu) conviviaux d’accès distants aussi bien de ma machine vers les leurs que l’inverse.
J’ai un compte sur toutes les machines (quand ce n’est pas le cas, j’ai le mot de passe de l’administrateur).
Mes échecs
- pour aller chez eux :
VNC,
RDESKTOP,
machintruc.dyndns.org
- pour aller chez moi :
ssh
Le seul truc qui marche pour mes interventions (sur les machines avec ip fixe) c’est
ssh xxx.yyy.zzz.www -l moi
La faute à qui ? Sans conteste à moi, mais (exellente mauvaise excuse sous la main : RTFM(¹) pèse que dalle face à Altzheimer)
Alors quoi ?
Petit tuto - genre machin pour les nuls sous forme de « templates » de (tous les) fichiers de conf à éditer.
(¹) choisr le bon « read » parmi ceux de « to read, I read, read ».
repondre message
-
Posté le 22 avril 2006 à 16:06, par matth (lien)
Bonjour,
un peu de chipotage :
le protocole CIFS (ex- SMB) se fait par une liaison TCP, normalement sur le port 139 par défaut
$ grep CIFS /etc/services
microsoft-ds 445/tcp # Microsoft Naked CIFS
139, c’est quand on le fait passer au dessus de netbios, qui est un mode de compatibilité avec la passé de CIFS
repondre message