Association Bordelaise des Utilisateurs de Logiciels libres

Accueil ›› Utilisation de logiciels libres ›› Réseau ›› Monter son répertoire d’accueil à travers un firewall

Monter son répertoire d’accueil à travers un firewall

Posté le mardi 7 octobre 2003 par MIB

Lors qu’on travaille depuis plusieurs endroits, accèder à ses fichiers qui sont dispersés sur différents serveurs à coups de FTP, rsync et autres scp devient vite une véritable corvée.

Voilà une solution très simple à mettre en oeuvre qui aboutit au montage, sur le poste de travail local sous Unix (par exemple au labri), d’un répertoire d’accueil distant (par exemple celui du dept info de l’iut, au hasard). Quand c’est fait, les données distantes apparaissent dans un sous-répertoire.

Nécessaire :
- une liaison ssh
- sur le site local : les utilitaires smbclient et smbmount
- sur le site distant : un serveur samba Unix et/ou un serveur de fichiers windows.

L’idée : le protocole CIFS (ex- SMB) se fait par une liaison TCP, normalement sur le port 139 par défaut. Et normalement les firewalls bien configurés interdisent l’accès direct au port 139, pour autant d’ailleurs qu’on ait un routage vers le serveur de "partages". On encapsule donc cette liaison dans un tunnel SSH, en faisant

       ssh -L 9000:serveursamba:139 mon.site.distant.fr

On donne le mot de passe, et tout ça. (L’option -N permettrait de faire la redirection sans ouvrir de session)

On peut maintenant voir ce qu’il y a à l’autre bout par

       smbclient -L //localhost -p 9000

(et mot de passe)

et pourquoi pas, monter mon répertoire d’accueil distant dans un répertoire local

       mkdir ~/repertoire
       smbmount //localhost/mon-nom ~/repertoire -o port=9000

(mot de passe)

On peut même le faire pour un serveur Windows, avec quelques complications

smbmount //monserveur/partage ~/repertoire -o \
port=9000,workgroup=mondomaine,ip=localhost,iocharset=iso8859-1,codepage=cp850

Répondre à cet article

3 commentaire(s)
  • Posté le 18 octobre 2003 à 13:58, par Michel Billaud (lien)

    En complément, quelques considérations de sécurité :

    Si vous faites le montage depuis une machine cliente sur laquelle d’autres utilisateurs se connectent, il est prudent
    d’ajouter les options dmask=700,fmask=700.

    La raison : tous les fichiers et répertoires que vous montez par SMB apparaissent dans votre répertoire avec les
    mêmes droits d’accès. Il se peut que sur les serveurs distants, vous ayez aussi des fichiers dont vous souhaitez
    rester le seul lecteur. Vous pouvez les lire sur la machine client, mais de là à permettre aux autres de les lire par dessus votre épaule sur le poste client... D’où les options indiquées, qui font de vous le seul lecteur potentiel (avec root).

    Autre possibilité : utiliser un point de montage situé dans un répertoire à l’abri des visiteurs indiscrets.

    Répondre à ce message

  • Posté le 30 juin 2005 à 14:04, par gcsr (lien)

    Bonjour,

    L’idée semble correspondre exactement à mes besoins : ayant le malheur de passer pour « celui qui sait » aux yeux de mes enfants/parents (+amis) répartis un peu partout en France et même outre-mer, je me suis toujours planté sur des tentatives de mise en place de moyens (hum, heu) conviviaux d’accès distants aussi bien de ma machine vers les leurs que l’inverse.

    J’ai un compte sur toutes les machines (quand ce n’est pas le cas, j’ai le mot de passe de l’administrateur).

    Mes échecs

    - pour aller chez eux :

    VNC,

    RDESKTOP,

    machintruc.dyndns.org

    - pour aller chez moi :

    ssh

    Le seul truc qui marche pour mes interventions (sur les machines avec ip fixe) c’est

    ssh xxx.yyy.zzz.www -l moi

    La faute à qui ? Sans conteste à moi, mais (exellente mauvaise excuse sous la main : RTFM(¹) pèse que dalle face à Altzheimer)

    Alors quoi ?

    Petit tuto - genre machin pour les nuls sous forme de « templates » de (tous les) fichiers de conf à éditer.

    (¹) choisr le bon « read » parmi ceux de « to read, I read, read ».

    Répondre à ce message

  • Posté le 22 avril 2006 à 16:06, par matth (lien)

    Bonjour,
    un peu de chipotage :

    le protocole CIFS (ex- SMB) se fait par une liaison TCP, normalement sur le port 139 par défaut

    $ grep CIFS /etc/services

    microsoft-ds 445/tcp # Microsoft Naked CIFS

    139, c’est quand on le fait passer au dessus de netbios, qui est un mode de compatibilité avec la passé de CIFS

    Répondre à ce message