<div dir="auto">Yes.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 23, 2019, 1:49 PM Julien dupont <<a href="mailto:marcelvierzon@gmail.com">marcelvierzon@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>Early this year I got help here to setup tinc tunnels between users and a company LAN. Now I would like to try something different for a home usage and I have a question regarding security.</div><div><br></div><div>The setup would look like as follows:</div><div><br></div><div>- My home LAN has a classical topology where my ISP router is doing NAT and is blocking all incoming connection. I'm planning to enable port forwarding on the router: port 655 (tinc) and 656 (ssh) to a Raspberry Pi running Raspbian. It would have a static IP.</div><div>- The ssh daemon listening on port 656 on the Rapsberry Pi will be hardened (only one user can login, strong password, protocol 2 only, fail2ban installed, etc.).</div><div>- Tinc daemon will be listening on port 655.</div><div>- I would use a DDNS service to find the current public IP of my router.</div><div><br></div><div>The goal is to be able to establish a Tinc tunnel from a laptop outside the LAN to the Raspberry Pi and access all computers behind my router from that point on. Thanks to the previous help I know how to setup Tinc and the routing rules to achieve that.</div><div><br></div><div>Now I'm wondering if and why I would need to implement any additional precaution, like a firewall on the Raspberry Pi with that specific setup. I'm assuming that:</div><div><br></div><div>- It is impossible to reach any other port than 655 and 656 from the outside as only those two are forwarded.</div><div>- It is impossible to directly reach any other computer than the Raspberry Pi so they don't need to be protected.</div><div>- It is impossible, or very hard, to defeat ssh and tinc daemons security.</div><div>- It is thus impossible to access the Raspberry Pi otherwise than through a tinc tunnel or a SSH connection so no firewall is needed.</div><div><br></div><div>Am I right there?</div><div><br></div><div>Thanks,</div><div>Julien</div><div><br></div><div><br></div></div>
_______________________________________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org" target="_blank" rel="noreferrer">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc</a><br>
</blockquote></div>