Bonsoir !

Ce soir j'ai essayé d'accéder aux partages SMB de mon serveur Linux depuis un ordinateur déconnecté de mon réseau local et connecté via internet.

Je devance les remarques en matière de sécurité : c'est destiné à un usage ponctuel, pour collaborer sur de grandes quantités de données avec des amis qui ne veulent ou ne peuvent pas installer de tunnel SSH, de VPN, etc. Je pourrai configurer Samba pour qu'il n'accepte les connexions que depuis leurs adresses IP.

Plus précisèment, j'ai utilisé un PC portable sous Windows 7 connecté en 4G Bouygues Telecom via le partage de connexion d'un iPhone 6. (Il y a peut-être des détails superflus, mais je préfère en mettre trop que pas assez. :-))

Sur le serveur Linux, la configuration de Samba est extrêmement simple, proche de la configuration par défaut, je n'ai quasi modifié que les partages. Je n'ai pas parametré de "hosts allow" ou de "hosts deny", et le fonctionnement par défaut est de tout accepter.

Ca fonctionne parfaitement depuis cette machine depuis le réseau local.

Mais lorsque j'essaie depuis internet, Windows 7 ne parvient pas à accéder au partage. L'outil de diagnostic, qui pour une fois livre un diagnostic, indique que le serveur ne répond pas sur le port 445.

Je n'ai pas de firewall sur le serveur, je n'en ai pas non plus sur le PC Windows 7, et le firewall du routeur Bbox est désactivé.

En l'occurrence, un scan nmap donne les ports 139/tcp et 445/tcp comme "filtered". Pourtant, mon Samba est configuré pour générer un fichier de log individuel pour chaque machine qui tente de s'y connecter, et j'ai dans le dossier en question des logs pour des dizaines de machines qui ne sont pas les miennes, avec des adresses IP internet (et non locales).

J'ai lu ici et là que certains FAI bloquent systématiquement ces ports. Est-ce le cas chez Bouygues Telecom ? Si oui, comment peut-on les débloquer ?

Faire tourner un serveur (quel qu'il soit) sur une connexion mobile derrière un CGNAT ça me semble osé en effet.

Les ports 135,139,445 ont été filtré vers entre 2001 et 2006 suite aux pandémies de worm affectant Windows 2000/Windows XP.
Il est très probable que le filtre soit resté actif.

Internet était très différent il y a une dizaine d'année: un Windows sans parefeu ni mis à jour ne tenait pas 1 heure.

Faire tourner un serveur (quel qu'il soit) sur une connexion mobile derrière un CGNAT ça me semble osé en effet.

Si j'ai bien compris, la connexion mobile n'était là que comme client de test...

Bouygues Telecom promet une totale neutralité du Net depuis ses connexions 4G,

Qui a essayé de te faire croire ça ?

Je profite de congés pour déterrer ce topic ! :-)

Le serveur il est où ? Sur ton LAN, ou dans un DC (ou ailleurs) ? Il a une IPv4 publique sur sa carte réseau ? Ou bien tu as un routeur qui fait du NAT devant ?

Le serveur est sur mon LAN, il a l'IPv4 192.168.1.1, qui est configurée en tant que DMZ de mon routeur Bbox. Sur ce routeur, j'ai "Pare-feu" sur "Désactivé".

Ta question en soulève une : est-ce qu'il faut aider Samba à répondre aux requêtes arrivant sur une IP (l'IP publique) qui n'est pas vraiment la sienne ?