Il s'avère que CUPS souffre de quelques vulnérabilités et qu'il n'est pas indiqué de la laisser accéder depuis Internet ...
Mais le paramétrage n'est pas évident !
Dans mon cas la machine qui supporte l'imprimante est celle qui sert de "pont" internet et est accessible de tout le réseau interne.
Les deux cartes sont "bridgées" et nommées "br0" (vers internet) et "br1" (vers réseau interne).
Il faut limiter les adresses possibles dans /etc/cups/cupsd.conf et par défaut toutes les adresses sont permises ...
AVANT
# Allow remote access
Port 631 # Listen to all
Listen /var/run/cups/cups.sock # existing socket ListenIl faut remplacer cette partie par :
APRES
# Allow remote access
# Port 631 # Listen to all --> NO
Listen A.B.C.D:631 # new limit
Listen 127.0.0.1:631 # existing loopback Listen
Listen /var/run/cups/cups.sock # existing socket ListenOn peut aussi sécuriser d'autres parties (location) en limitant l'interface utilisable, ici pour moi limiter l'interface à "br1" qui est l'interface vers le réseau interne :
AVANT
<Location />
# Allow remote administration...
Order allow,deny
</Location>APRES
<Location />
# Allow remote administration...
Order allow,deny
Allow @IF(br1)
</Location>On peut aussi utiliser des ordres "Allow" avec des adresses IP, même avec jokers telles "192.168.10.*" ou au format CIDR tellesque "192.168.10.0/24".
Normalement votre CUPS devrait être un peu plus à l'abri des vilains méchants ...