<div dir="auto">I do the opposite, i block traffic on my public interface except for p22 and 655 and explicitly trust and allow traffic on my tinc interface as I trust that vpn.<div dir="auto"><br></div><div dir="auto">Think that by default enabling your firewall on most OS will block all incoming connections on all interfaces.</div><div dir="auto">Wouldnt that be enough for your usage case?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 27 Jan 2017 3:34 pm, "Niklas Hambüchen" <<a href="mailto:mail@nh2.me">mail@nh2.me</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That would probably work, too; it's harder to configure though and<br>
easier to get wrong.<br>
<br>
If I could avoid having the tun0, that would trivially solve the problem.<br>
<br>
On 27/01/17 09:41, Azul wrote:<br>
> Why not just firewall incoming traffic on the clients?<br>
><br>
><br>
> On 27 Jan 2017 8:37 am, "Niklas Hambüchen" <<a href="mailto:mail@nh2.me">mail@nh2.me</a><br>
> <mailto:<a href="mailto:mail@nh2.me">mail@nh2.me</a>>> wrote:<br>
><br>
>     I'm looking for a way to add some (Linux) participants into my tinc<br>
>     network, but I want to protect them from accidentally binding a port so<br>
>     that it's accessible via tinc.<br>
><br>
>     For example, `nc -l` by default listens to all interfaces.<br>
><br>
>     Similarly, some software (I think mongodb < 2.6 was among those) bind to<br>
>     all interfaces AND allow unauthenticated access that can do remote code<br>
>     execution, which is a security nightmare.<br>
><br>
>     While these are arguably cases of "the user should be careful what<br>
>     interface they let their programs listen to", I want to avoid the<br>
>     possibility of this all together, and want to configure tinc such that<br>
>     on selected participants, there's no interface that programs could bind<br>
>     to, so that only outgoing connections work.<br>
><br>
>     How can I achieve that?<br>
><br>
>     I imagine the easiest way would be to make it so that tinc creates no<br>
>     tun device. Is the `DeviceType = raw_socket` option what I'm looking<br>
>     for?<br>
><br>
>     Thanks!<br>
>     Niklas<br>
>     ______________________________<wbr>_________________<br>
>     tinc mailing list<br>
>     <a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a> <mailto:<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a>><br>
>     <a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a><br>
>     <<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a>><br>
><br>
><br>
><br>
> ______________________________<wbr>_________________<br>
> tinc mailing list<br>
> <a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
> <a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a><br>
><br>
______________________________<wbr>_________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a><br>
</blockquote></div></div>