bonjour !
 
je vais essayer d'être clair : j'ai un serveur (debian) avec samba qui tourne dessus. Ce serveur est placé derrière un routeur qui ne forwarde que le port ssh vers mon serveur. Du coup, je peux utiliser samba sans problème depuis mon réseau local derrière le routeur, mais pas depuis le WAN. Jusque là tout va bien.
 
Le problème, c'est que j'aimerais permettre à un certain nombre de gens bien choisis de se connecter à mon serveur samba. Pour des raisons de sécurité, j'aimerais éviter d'ouvrir le port 139 sur le routeur. Du coup, je me disais que je pourrais permettre aux utilisateurs de créer un tunnel ssh vers mon serveur pour pouvoir utiliser samba en contournant le routeur. Donc ce que j'aimerais faire, c'est créer un compte ssh qui a le droit de créer un tunnel uniquement vers le port 139, et surtout qui n'a pas le droit de lancer un shell sur mon serveur.
 
A votre avis, est-ce que c'est possible ? est-ce que c'est utile (ou bien est-ce que c'est une solution compliquée pour un problème simple) ?
 
Merci d'avance

up !
 
je reformule la question au cas où ça n'aurait pas été très clair la première fois : est-il possible d'autoriser quelqu'un à créer un tunnel vers mon serveur sans lui donner accès à un shell ?
 
Merci !

regarde du côté du fichier "authorized_keys" ("man sshd" pour plus d'info)

oui, mais je ne saurais pas te dire comment faire  

dans le man, il y a l'option "no-pty"

OK, je regarde ça de plus près.
 
Merci beaucoup !

Salut,
 
Le VPN ne serait pas plus indiqué pour ce genre de manip ?

Si les clients qui doivent se connecter via internet sont sous Windows, tu peux aussi regarder du cote de pptpd/poptop. C'est un serveur VPN (pptp) qui permet de se connecter directement depuis windows. Il fonctionne avec proxyarp et bcrelay, ce qui permet de faire croire au PC connecte qu'il est directement sur le reseau local (pptpd lui attribue une ip locale lors de la connection) et donc de faire fonctionner a 100% le "voisinnage reseau" en toute (relative) securite.
 

Merci pour les conseils
Effectivement, le VPN serait la solution idéale, mais je voudrais éviter aux clients de faire trop de configurations (a priori, c'est loin d'être des informaticiens nés). Du coup, je pensais leur donner simplement un petit batch pour lancer un tunnel SSH avec putty et comme ça ils peuvent directement monter les points de partage samba sant trop se prendre la tête à configurer une nouvelle connexion réseau.
 
En fait, j'ai regardé plus précisément la doc du fichier authorized_keys pour sshd et j'ai réussi à faire exactement ce qe je veux : à la connexion du client, on ignore la commande qu'il envoie et on exécute à la place une petite commande qui ne fait rien. Du coup, le tunnel est mis en place, mais le client n'a pas la possibilité de faire quoi que ce soit sur mon serveur.
 

cela dit, windows incorpore un client VPN (PPTP) très facile à configurer. Par contre il est vrai qu'avec le tunnel ssh, ils ne pourront pas se balader dans ton réseau.