Настроил доступ из Windows-клиентов через интернет к  Samba-серверу с помощью SSH туннеля
на Putty на примере http://lists.samba.org/archive/samba/2004-May/085358.html .Всё работает . Набираю в проводнике Windows \\1.1.1.1 - открывается всё как положено .
Смущает только одно - всё таки самбовские порты открыты для доступа с Интернета . В принципе если набрать \\реальный_IP_Samba_Server , выдаётся сообщение ,что найти ничего
не удалось . tcpdump портов  137-139 , 445 ничего при этом не показывает .
Если прикрыть фаерволом порты самбы для внешней сети и запретить в smb.conf ,тогда и через тунель не получается зайти . Как убедиться ,что иным путём кроме как тунеля ,я не залезу из Интернета на Самбу?
И ещё такой момент . Если разрешить  доступ к самбе из loopback интефейса , и прописать правила в iptables , чтобы все коннекты на 22 порт перебрасывались на loopback , а там уже Самба. Ногами сильно не пинайте , честно говоря , не совсем понятен механизм туннелирования пакетов обращения к Самбе . Точнее тот момент, когда происходит уже дешифрация . Как эти пакеты отловить фаерволом и разрешить только таким пакетам проходит к самбе?