<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 20/5/19 2:36 am, cat big wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAGB2s7uUnYL1fe+14y6_Fe8W-j2m1Ct3k=yWgDvx=EUUaLxXTQ@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="ltr">
        <div dir="ltr">Hi tinc users,<br>
          <br>
          I have two Tinc nodes (A, B) running on trusted computers.
          Between A and B there's no direct internet connection. So I
          have to set up the third node X to bridge them:
          <div><br>
            <font face="monospace, monospace"> [ A ] ======= [ X ] </font><span
              style="font-family:monospace,monospace">=======</span><span
              style="font-family:monospace,monospace"> [</span><font
              face="monospace, monospace"> B ]<br>
              trusted      untrusted       trusted<br>
            </font><br>
          </div>
          <div>X is on a cloud service like AWS thus it's on an
            untrusted third party. Once it's is compromised the attacker
            can access to the entire VPN through it.<br>
          </div>
          <div><br>
          </div>
          <div>To prevent such attack, it's possible to deploy firewall
            rules to drop all the direct packages from X. However when
            the network scales up, it's inefficient to deploy such rules
            to all the machines.<br>
          </div>
          <div><br>
          </div>
          <div>So my question is: is it possible to set up the tinc node
            on X as a bridge-only node? "Bridge-only" means X only
            serves as a bridge between the connected nodes. It forwards
            the traffic but can't read the traffic or send message to
            other nodes in the VPN.</div>
          <div><br>
          </div>
          <div>Any input would be appreciated. Thanks!</div>
        </div>
      </div>
    </blockquote>
    <p><br>
    </p>
    <p>Maybe you can use iptables on X to simply forward traffic
      arriving from A on to B (and vice-versa) at the packet level,
      rather than running tinc. Effectively X is a proxy with no
      knowledge of what it's forwarding and hence no possibility of
      injecting traffic.<br>
    </p>
    <p>I've never tried, but a quick google shows <a
        href="http://gsoc-blog.ecklm.com/iptables-redirect-vs.-dnat-vs.-tproxy/">http://gsoc-blog.ecklm.com/iptables-redirect-vs.-dnat-vs.-tproxy/</a>
      for example may be helpful.</p>
    <p><br>
    </p>
    <p><br>
    </p>
    <p>Hamish<br>
    </p>
    <p><br>
    </p>
  </body>
</html>