<div dir="auto">Why not just firewall incoming traffic on the clients?<div dir="auto"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 27 Jan 2017 8:37 am, "Niklas Hambüchen" <<a href="mailto:mail@nh2.me">mail@nh2.me</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm looking for a way to add some (Linux) participants into my tinc<br>
network, but I want to protect them from accidentally binding a port so<br>
that it's accessible via tinc.<br>
<br>
For example, `nc -l` by default listens to all interfaces.<br>
<br>
Similarly, some software (I think mongodb < 2.6 was among those) bind to<br>
all interfaces AND allow unauthenticated access that can do remote code<br>
execution, which is a security nightmare.<br>
<br>
While these are arguably cases of "the user should be careful what<br>
interface they let their programs listen to", I want to avoid the<br>
possibility of this all together, and want to configure tinc such that<br>
on selected participants, there's no interface that programs could bind<br>
to, so that only outgoing connections work.<br>
<br>
How can I achieve that?<br>
<br>
I imagine the easiest way would be to make it so that tinc creates no<br>
tun device. Is the `DeviceType = raw_socket` option what I'm looking for?<br>
<br>
Thanks!<br>
Niklas<br>
______________________________<wbr>_________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a><br>
</blockquote></div></div>