<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Aug 10, 2022 at 8:15 AM James <<a href="mailto:jam@tigger.ws">jam@tigger.ws</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
> On 10 Aug 2022, at 7:10 pm, James Abernathy <<a href="mailto:jfabernathy@gmail.com" target="_blank">jfabernathy@gmail.com</a>> wrote:<br>
> <br>
> I've been using the MythTV FE/BE combo on a PC that in recent updates is now running firewalld.  I've looked into trying to configure it correctly, but without luck at least for MythTV.  I know I have to set it to Home zone and turn on stuff but so far, I'm missing something. If I disable firewalld service, it all works as before.<br>
> <br>
> Anyone figured out firewalld with MythTV yet?<br>
<br>
Jim this is complex stuff:<br>
<br>
If you have a modem/router and you are running an ipv4 network at home then any firewall within your network is totally without any value what so ever.<br>
<br>
By RFC no router in the internet may route private addresses (192.168, 10. etc)<br>
So bad guys any where make it to your modem and can go NOWHERE. Your wife is not going to hack your mythbackend and you don't have kids at home playing with game servers!<br>
<br>
You might have port-forwarding on your modem enabled, in which case you have already delt with it eg ssh or www.<br>
Any machine on your network (usually) allows RELATED,ESTABLISHED back and a firewall will not help you stop a compromise that uses this vector.<br>
<br>
If you use ipv6 you need a whole bunch of experience, knowing the fine print of link-only addresses, and I have read of the benefits of using NAT with ipv6.<br>
<br>
I guess the best questions are I guess: What are you trying to protect: From Whom. <br>
<br>
As IR you are running various ubuntu, though I guess your 'lite' systems are debian. I did not think they pushed firewalld, but in those cases it would be easy to remove.<br>
<br>
'Course if you are playing with then methinks play with ip-tables knowing that firewalld makes it easier (usually) to set them.<br>
Frankly for us ole farts there is much more exciting than ip-tables!<br>
<br>
James<br></blockquote><div><br></div><div>This is mostly an exercise in understanding.  I'm a big believer in turning off security forced on me by OS vendors/developers.  It started with  RHEL4 with selinux.  Only way to get my system to work was to turn it off. Same for firewalld.  </div><div><br></div><div>I've been playing with EnveavourOS recently and they started including firewalld turned on by default and with the public setting which blocks everything.  </div><div><br></div><div>My network is simple. Cable modem is connected to the Wan port of a TP-Link WiFi 6 AP/router.  So everything is on a <a href="http://192.168.0.0/24">192.168.0.0/24</a> subnet.  I view that as reasonably safe as I don't do port forwarding and the only thing open is openvpn on the router so I can ssh backend to my local network from outside the house.</div><div><br></div><div>I do worry about all the smart devices like Nest thermostats, Amazon Echo, smart light switch and receptacles, etc.  They communicate to hosts outside the home to set up some link for your phone to control them.  That looks like trouble brewing. </div><div><br></div><div>So I guess using a firewall on a Desktop OS is dumb as everyone is on a private non routeable network behind an AP/router with NAT and other features turned on.</div><div><br></div><div>Jim A</div><div><br></div></div></div>