<div dir="ltr">Hello,<div><br></div><div>Early this year I got help here to setup tinc tunnels between users and a company LAN. Now I would like to try something different for a home usage and I have a question regarding security.</div><div><br></div><div>The setup would look like as follows:</div><div><br></div><div>- My home LAN has a classical topology where my ISP router is doing NAT and is blocking all incoming connection. I'm planning to enable port forwarding on the router: port 655 (tinc) and 656 (ssh) to a Raspberry Pi running Raspbian. It would have a static IP.</div><div>- The ssh daemon listening on port 656 on the Rapsberry Pi will be hardened (only one user can login, strong password, protocol 2 only, fail2ban installed, etc.).</div><div>- Tinc daemon will be listening on port 655.</div><div>- I would use a DDNS service to find the current public IP of my router.</div><div><br></div><div>The goal is to be able to establish a Tinc tunnel from a laptop outside the LAN to the Raspberry Pi and access all computers behind my router from that point on. Thanks to the previous help I know how to setup Tinc and the routing rules to achieve that.</div><div><br></div><div>Now I'm wondering if and why I would need to implement any additional precaution, like a firewall on the Raspberry Pi with that specific setup. I'm assuming that:</div><div><br></div><div>- It is impossible to reach any other port than 655 and 656 from the outside as only those two are forwarded.</div><div>- It is impossible to directly reach any other computer than the Raspberry Pi so they don't need to be protected.</div><div>- It is impossible, or very hard, to defeat ssh and tinc daemons security.</div><div>- It is thus impossible to access the Raspberry Pi otherwise than through a tinc tunnel or a SSH connection so no firewall is needed.</div><div><br></div><div>Am I right there?</div><div><br></div><div>Thanks,</div><div>Julien</div><div><br></div><div><br></div></div>