Remote printing

[wolf]

Min kæreste er ofte på farten med en bærbar, hvor hun kobler den på nettet med et 3G-modem. Hun vil gerne have mulighed for at skrive ud på printeren derhjemme, mens hun sidder i toget, så det ligger parat, når hun kommer hjem.

Vi har en server, som deler printeren (via CUPS), sådan at husets øvrige computere på lokalnettet kan skrive ud. Den del er således på plads. Men serveren tillader naturligvis ikke udskrivning fra computere udenfor lokalnettet.

Hvad skal jeg rent praktisk gøre, sådan at min kæreste kan skrive ud fra en computer, der ikke er på lokalnettet?

[soundpartner]

Min kæreste er ofte på farten med en bærbar, hvor hun kobler den på nettet med et 3G-modem. Hun vil gerne have mulighed for at skrive ud på printeren derhjemme, mens hun sidder i toget, så det ligger parat, når hun kommer hjem.

Vi har en server, som deler printeren (via CUPS), sådan at husets øvrige computere på lokalnettet kan skrive ud. Den del er således på plads. Men serveren tillader naturligvis ikke udskrivning fra computere udenfor lokalnettet.

Hvad skal jeg rent praktisk gøre, sådan at min kæreste kan skrive ud fra en computer, der ikke er på lokalnettet?

det kan gøres på flere måder. den nemmeste er nok den jeg også selv bruger:

gå i din router og lav en portforward således at port 631 forwarder til din printserver. hvis printserveren er sat rigtigt op vil indkommende trafik på din routers ip port 631 blive forwardet direkte til din printservers port 631.

jeg kan huske at jeg syntes det var nemmest at konfigurere printeren lokalt og sp derefter bare ændre ip'en fra den lokale 192.168.1.007 til min publick ip 182.45.21.45.

alternatict kan du sætte det op så du kan køre igennem en ssh tunnel

[wolf]

gå i din router og lav en portforward således at port 631 forwarder til din printserver. hvis printserveren er sat rigtigt op vil indkommende trafik på din routers ip port 631 blive forwardet direkte til din printservers port 631.

Det var faktisk det, jeg gerne ville undgå. Det skal ikke være sådan, at alle og enhver kan printe på vores printer.

alternatict kan du sætte det op så du kan køre igennem en ssh tunnel

Det var sådan noget, jeg havde i tankerne. Men når nu jeg har lavet f.eks.:

Kode: Vælg alt

ssh -L8000:localhost:631 mig@minserver.dk

Hvordan tilføjer jeg så den pågældende printer til min liste over printere? (Jeg har prøvet, men angivelsen af printeren som "http://localhost:8000" gav ikke anledning til, at printeren blev tilføjet.)

[soundpartner]

gå i din router og lav en portforward således at port 631 forwarder til din printserver. hvis printserveren er sat rigtigt op vil indkommende trafik på din routers ip port 631 blive forwardet direkte til din printservers port 631.

Det var faktisk det, jeg gerne ville undgå. Det skal ikke være sådan, at alle og enhver kan printe på vores printer.

alternatict kan du sætte det op så du kan køre igennem en ssh tunnel

Det var sådan noget, jeg havde i tankerne. Men når nu jeg har lavet f.eks.:

Kode: Vælg alt

ssh -L8000:localhost:631 mig@minserver.dk

Hvordan tilføjer jeg så den pågældende printer til min liste over printere? (Jeg har prøvet, men angivelsen af printeren som "http://localhost:8000" gav ikke anledning til, at printeren blev tilføjet.)

man kan sige at nogle gange kan man godt blive for paranoid.
hvis folk giver sig til at scanne internettet for en printer så skal de være ret heldige for at finde din, og du kan jo stadig gennem cups sætte restriktioner på således man skal kende en kode for at kunne printe, eller at eventuelle brugere skal tillades/afvises.

[wolf]

man kan sige at nogle gange kan man godt blive for paranoid.
hvis folk giver sig til at scanne internettet for en printer så skal de være ret heldige for at finde din,

Det råd håber jeg sandelig ikke, du giver uerfarne brugere.

Men det vil jeg lade være en anden diskussion, som jeg i øvrigt ikke gider inddrages i.

Der er åbenbart mulighed for tilstrækkelig adgangskontrol på CUPS, og så burde den være nogenlunde hjemme. Men nu hvor jeg har åbnet port 631, så den kan ses ude fra den vide verden, hvordan tilføjer jeg så den pågældende CUPS-server på mine klienter, så de kan skrive ud på serverens printere?

[AJenbo]

system-administraiton-udskrivning-tilføj-netværksprinter-internet printer protocol (ipp), udfyld væten med din ekterne ip (brug ip.dk for at se den), tryk næste.

[zob]

Jeg spørger fordi jeg ikke ved det, ikke for at sætte en diskussion igang; men hvad kan en "hacker" egentlig gøre med din printer ud over at bruge alt dit papir?

[lath]

Min kæreste er ofte på farten med en bærbar, hvor hun kobler den på nettet med et 3G-modem. Hun vil gerne have mulighed for at skrive ud på printeren derhjemme, mens hun sidder i toget, så det ligger parat, når hun kommer hjem.

Vi har en server, som deler printeren (via CUPS), sådan at husets øvrige computere på lokalnettet kan skrive ud. Den del er således på plads. Men serveren tillader naturligvis ikke udskrivning fra computere udenfor lokalnettet.

Hvad skal jeg rent praktisk gøre, sådan at min kæreste kan skrive ud fra en computer, der ikke er på lokalnettet?

En udmærket løsning kan være følgende:

Installer cups-pdf pakken på maskinen:
Når hun går i toget vælger hun så PDF printeren - så bliver alt hun printer - printet som PDF filer, der ligger i PDF mappen i hendes hjemme-mappe.
Når hun så kommer hjem vælger hun den rigtige printer, og åbner derefter PDF mappen, og åbner alle filer og printer dem. Derefter kan de slettes.

Det er en løsning der altid bør virke da den ikke kræver fjernadgang.

/Lars

[wolf]

Jeg spørger fordi jeg ikke ved det, ikke for at sætte en diskussion igang; men hvad kan en "hacker" egentlig gøre med din printer ud over at bruge alt dit papir?

Man skal generelt ikke åbne en port, med mindre der virkelig er brug for det. For selv om det er ærgerligt nok at få printet reklamer for Viagra ud i farver på 500 stykker papir, er det intet imod diverse exploits, der f.eks. blotlægger systemet. Hvis der er softwarefejl, kan en service (f.eks. printservice) ofte bruges til andre formål, end den var tænkt, såsom "login" som root.

[wolf]

system-administraiton-udskrivning-tilføj-netværksprinter-internet printer protocol (ipp), udfyld væten med din ekterne ip (brug ip.dk for at se den), tryk næste.

Det troede jeg også, men der meldes om protokolfejl. Men før jeg begynder at rode alt for grundigt i logfiler og laver fejlsøgning, ville jeg lige vide, om jeg var helt afsporet som udgangspunkt.

[wolf]

Når hun går i toget vælger hun så PDF printeren - så bliver alt hun printer - printet som PDF filer, der ligger i PDF mappen i hendes hjemme-mappe.
Når hun så kommer hjem vælger hun den rigtige printer, og åbner derefter PDF mappen, og åbner alle filer og printer dem. Derefter kan de slettes.

Det er noget af en omvej, synes jeg, for i så fald kan hun jo lige så godt bare skrive sine OpenOffice-dokumenter ud et ad gangen, når hun kommer hjem. Pointen var jo, at hun ikke skal til at lave ekstraarbejde, når hun kommer hjem.

[soundpartner]

rolig nu... du beder om en mulighed for at kunne printe udefra for at gøre det så SKAL du åbne et eller andet så du kan komme ind.
vi snakker altså om et linuxsystem og ikke et windowssystem. det at udnytte en cups server for så at få root på maskinen det er temelig langt ude tankegang i mine øjne.
men du kan jo i stedet åbne op for ssh (port 22) som netop er beregnet til remote login. jeg vil gætte på at det nok er 100 gange nemmere at komme ind der end gennem en cups server.

hvad er hastigheden på din forbindelse? og er du sikker på at du har en forbindelse med mulighed for adgang udefra? det kunne jo være du er ude i noget timeout, eller at din forbindelse er natted så der ikke er adgang udefra

hvis du fra en browser besøger din eksterneip:631 hvad får du så frem?

det nemmeste syntes jeg er at installere printeren på det interne netværk, og så bare ændre i ip-adressen til den eksterne

[wolf]

det at udnytte en cups server for så at få root på maskinen det er temelig langt ude tankegang i mine øjne.

Så tænk på, hvorfor man portscanner og prøver at angribe de åbne porte med et møggreb af muligheder, der ikke nødvendigvis har en døjt med CUPS at gøre. Ærlig talt, det her emne er "old hat" i sikkerhedsverdenen.

det nemmeste syntes jeg er at installere printeren på det interne netværk, og så bare ændre i ip-adressen til den eksterne

Der er bare den finte, at på det interne netværk bliver printeren broadcasted af CUPS-serveren (på serveren), så her skal jeg ikke fedte med en eksplicit adresse. Der er forhåbentlig ikke broadcast på det "store" net.

[soundpartner]

det at udnytte en cups server for så at få root på maskinen det er temelig langt ude tankegang i mine øjne.

Så tænk på, hvorfor man portscanner og prøver at angribe de åbne porte med et møggreb af muligheder, der ikke nødvendigvis har en døjt med CUPS at gøre. Ærlig talt, det her emne er "old hat" i sikkerhedsverdenen.

det nemmeste syntes jeg er at installere printeren på det interne netværk, og så bare ændre i ip-adressen til den eksterne

Der er bare den finte, at på det interne netværk bliver printeren broadcasted af CUPS-serveren (på serveren), så her skal jeg ikke fedte med en eksplicit adresse. Der er forhåbentlig ikke broadcast på det "store" net.

når du ikke vil lytte, så kan jeg ikke hjælpe dig mere

[wolf]

når du ikke vil lytte, så kan jeg ikke hjælpe dig mere

Det er dine spekulationer omkring sikkerhed, jeg ikke er interesseret i hverken at høre eller se på skrift, hvor andre kan risikere at rette sig efter dem.

Forslag til, hvordan jeg konkret kan sætte en ekstern PC i stand til at benytte CUPS på huset server til at skrive ud med, er jeg meget interesseret i at høre.