Bonjour à tous,
j'ai un problème un peu curieux: j'ai:

• Un serveur sous OSX 10.11 + OSX server qui fait du partage de fichiers en SMB et AFP
• Le dit serveur est connecté en fibre Orange 1Gb/200Mb/s, et la livebox 4 sur laquelle il est branché redirige les ports pour permettre des connexions extérieures
• Ce système fonctionne bien, je peux me connecter avec mon pc portable et mon téléphone portable, en 4g freemobile ou depuis ma freebox adsl; en revanche ce qui est curieux c'est que la connexion ne marche pas en SMB depuis les même appareils quand j'essaye de me connecter via ma connexion SFR câble. Je pense qu'il y a un parefeu mais aucun moyen de le désactiver (modem sagem MIXNW). Je peux mettre mes machines en zone DMZ, mais ça ne change rien
• En revanche la connexion en AFP est fonctionnelle depuis la même connexion avec mon pc portable

du coup, est-ce que d'autres personnes ont constaté un blocage des connexions smb sortantes par SFR? Un moyen de le bypasser? (hormis VPN)

Il doit y avoir du filtrage effectivement sur les ports 139 et 445, probablement implémentée sur ton modem / routeur SFR via une option genre "firewall" ou un truc équivalent.
 
Par contre mettre du SMB et de l'AFP en accès ouvert via Internet, c'est pas l'idée du siècle, c'est des protocoles qui sont conçus principalement pour un accès LAN avec des listes de vulnérabilités longues comme le bras.

Je suis du même avis. Ca m'étonnerait qu'il existe un moyen de passer outre cette protection qui doit être la même sur toutes les boxs.
Essaye de partager les fichiers avec un autre moyen ou ce sera par VPN.

Non, il n'y a pas ce filtre sur les autres box testées (Livebox 4 et Freebox crystal).
Des vulnérabilités, tous les protocoles peuvent en avoir. Smb ou afp me semblent plus sûr que le ftp, largement utilisé, qui fait transiter tous les mots de passes en clair, je me trompe? La connexion doit obligatoirement utiliser NTLMv2 en smb, qui, à ma connaissance, n'est pas cracké. J'ajoute que ce partage afp/smb par l'internet est proposé directement et nativement par osx server
 
Sinon vous me recommandez quoi? Sftp?

Hummm. Tu parles de SFR câble, donc ca doit être numéricable en fait, et ils bloquent effectivement le port 445, donc tu ne pourras rien y faire.
 
NTLMv2 n'a même pas a être cracké. Il est depuis le début vulnérable aux attaques MitM, et il est assez aisé de profiter de la propension de l'OS a passer implicitement les crédentials pour le faire à travers Internet : https://blog.zubairalexander.com/is [...] directory/
 
De plus Samba a eu ces dernières années plusieurs failles liées non pas a l'authent mais aux services eux mêmes : du denial of service simple à la corruption des données à distance. Tu peux trouver une liste des failles identifiées sur le site de Samba : https://www.samba.org/samba/history/security.html
 
En dernier lieu, je ne sais pas comment OSX gère ca, mais par défaut à ma connaissance Samba n'a pas de paramétrage spécifique pour bloquer les simples attaques par bruteforce.
 
En fonction de tes besoins (parce qu'on ne peut pas pour moi comparer Samba a ftp, il n'y a pas du tout les mêmes fonctionnalités), du sftp, du scp, du sshfs, du Webdav ou monter un VPN pourraient tout à fait correspondre à ton besoin.
 
Edit : j'avais oublié qu'Apple avait fait sa propre implémentation de serveur Samba depuis que ce dernier est passé en GPLv3. Je laisse quand même mon passage sur Samba pour les visiteurs qui se poseraient la question d'implémenter ca sur du Windows / Linux.

Bonjour,
Il y a une protection anti brute force: 10 authentifications échouées et l'ip est bannie.
 
Mon besoin est: Pour une association que les membres et salariés puissent accéder à leurs fichiers et travailler dessus à distance, comme ils le font actuellement en smb/afp.
 
Le vpn offrirait selon toi plus de sécurité? L'ennui c'est que la Livebox 4 refuse de rediriger le port utilisé par L2tp :-/