<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Aug 4, 2024 at 4:19 PM Mike Perkins <<a href="mailto:mikep@randomtraveller.org.uk">mikep@randomtraveller.org.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 04/08/2024 16:20, James Linder wrote:<br>
><br>
><br>
>> On Aug 2, 2024, at 16:41, Mike Perkins <<a href="mailto:mikep@randomtraveller.org.uk" target="_blank">mikep@randomtraveller.org.uk</a>> wrote:<br>
>><br>
>> On 02/08/2024 01:39, James Abernathy wrote:<br>
>>> When installing MythTV Combo FE/BE I've always had to disable my firewall,<br>
>>> firewalld, to get things to work.  I've decided to try and figure out what<br>
>>> needs to be added to the exceptions.  firewalld had a number of zones like<br>
>>> Home and Public.  If I set it to the Home zone, it has services for cifs,<br>
>>> mdns, ssh, etc.  I'd like to create one for MythTV.<br>
>>><br>
>>> I thought that being a combo FE/BE I wouldn't need to pass network traffic<br>
>>> outside the PC.  My first failure was when the Web App tried to find the<br>
>>> HDHomerun tuners I added. No tuners were found until I disabled firewalld<br>
>>> and restarted the backend.<br>
>>><br>
>>> Any ideas?<br>
>>><br>
>> By definition your HDHomeRun tuners are "outside the PC"! Of course they need access.<br>
>><br>
>> I don't run a firewall on any of my PCs, I leave that to my pfSense router. My mythtv system, both<br>
>> backend, frontend and two HDHomeRuns are segregated on a separate subnet and connected together by a<br>
>> dumb 1Gb switch.<br>
><br>
> Mike I dont know limitations, but I run a subnet on the same wires with a netgear router.<br>
><br>
> I quibble in minor way to address common misunderstanding, not in anyway to joust with thee:<br>
><br>
> You run a firewall because ??<br>
><br>
> * you have windows machines on your network and you want to stop them phoning-home when they get compromised<br>
> * you think bad guys will attack you. But by RFC no router may route a private address.<br>
> * your router has a firmware bug that allows non port forwared ports to be forwarded.<br>
><br>
> * You have a real ip address. THIS IS A VALID REASON.<br>
><br>
> * You run things like Wemo or Alexa or door bell camera or Solar monitoring. You have not put them in a DMZ sometimes called a guest network. You are crazy. You need a firewall on every machine!<br>
><br>
> * Your wife or kids are going to hack yor backend, in which case the router firewall does not help.<br>
><br>
> If you port-forward port nnnn to machine xxxx then a firewall is not going to help.<br>
><br>
> In general, for orninary (sic) folk using NAT, you do not need any sort of firewall.<br>
><br>
> Bad Guys can reach your modem. Here endith the story.<br>
><br>
> If you want to access myth from outside use a ssh tunnel.<br>
> I use Root login without password (only public/private key (use a passphrase if you are paranoid)<br>
> Use a good password.<br>
><br>
> “Your Favourite book title” is MUCH more secure than “34rffwff3@#” (Bits of entropy)<br>
> During the Crowdstrike outage I watched thousands of login attempts, some 5000 for root, a whole host of interesting login names.<br>
><br>
> One generallly allows ESTABLISHED,RELATED packets back so If you browse a suspect site then the firewall will not help you.<br>
> One of the buzz words is VPN. I think ssh tunnel is easier, but cie est la vie.<br>
><br>
> When an elderly and distinguished scientist says some is impossible he is nearly always wrong. I have yet to see why the average mythtv user has a need for a firewall.<br>
><br>
Well, I may be accounted elderly by some - 74 today - and I was once, indeed, a scientist. I have<br>
work that now orbits the Earth in Prospero (and still works). But the Government wouldn't pay me<br>
enough to keep me /and/ a wife so I moved into IT. After fifty+ years at the job I would consider<br>
that I am /not/ an average mythtv user!<br>
<br>
Briefly, I run a small mythtv subnet which consists of backend server, two dual HDHomeruns and a<br>
Frontend which is elsewhere in the house (and presently recording 3 programs).<br>
<br>
I also run a zoneminder subnet with (presently) 4 cameras to keep an eye on the wildlife that roams<br>
our suburban estate. These are mostly hedgehogs, one of which has taken up residence under the back<br>
garden shed. Most of the rest is cats and foxes with occasional squirrels, toads and birds.<br>
<br>
There is also a "main" subnet which has two servers, one of which has VMs, one of those is our main<br>
server, accessed by "thin" client via x2go software. We all use that for day-to-day activities.<br>
<br>
Also requiring broadband access are the TV STB, some Tado gear which runs the heating and hot water,<br>
a shared printer and a WiFi Access point - which has 3 SSIDs on different subnets (VLANs). I shall<br>
soon be adding an MQTT broker to that lot, pending time to build various Raspberry Pi Pico projects.<br>
<br>
Oh, and my son runs the only Windows device in the house that connects to the Internet.<br>
<br>
To connect these I have a Jetway NF692G6-345 board which has 6 1Gb Ethernet ports. This runs<br>
pfSense. One port is the WAN, one port is the WiFi AP and the other four go to switches. Three are<br>
the subnets mentioned above. The fourth is basically "everything else". (The MQTT broker may end up<br>
configured different.) Including things like phones, tablets and (linux) laptops which occasionally<br>
require connection I have 62 hosts configured.<br>
<br>
The only place I have any firewall rules is in the router. All subnets are isolated except for<br>
specific ports required for use or maintenance. The "everything else" switch has each device on a<br>
separate subnet (VLAN) which is configured to access the WAN port and nowhere else. Blame this on<br>
50+ years of hard-won experience. I grant that some of that may no longer be necessary but it<br>
doesn't cause any delays that I have noticed.<br>
<br>
My ISP does give me a real address and it does get thousands of access attempts, sometimes on very<br>
strange port numbers. I block whole countries and a list of dodgy ports, mainly so that it does not<br>
spam my firewall logs.<br>
<br>
It keeps me out of trouble so why complain?<br>
<br>
--<br>
<br>
Mike Perkins<br></blockquote><div><br></div><div>Mike, </div><div><br></div><div>I'm not nearly as old as you, I won't turn 74 until next May. ;-)</div><div><br></div><div>My interest peaked when you mentioned the MQTT broker. During the COVID-19 years I took up IOT stuff to keep busy and my mind working.  I used a Raspberry PI 4 to run Docker with Mosquito , Nodered, influxDB, and grafana containers. I used some ESP32-S2 boards spread around to monitor temperature and humidity and push that data back to the RPI4 using MQTT. I have a database of temperature and humidity around my house and in my RV in the backyard for every minute since 2020.  I'm sure this is valuable information for somebody, so I better lock down my network :-)</div><div><br></div><div>I really don't use a firewall on my PCs but I'd like to understand it better just because.  Since my ISP gives me a Dynamic IP address I have to use a DDNS provider so my Wirequard clients can get into my home network using VPN. I'm hoping that NAT port forwarding on my DECO router for my VPN server is not going to cause me too much grief.</div><div><br></div><div>I'm sure the real hackers in it for money are looking at businesses and governments where all the valuable information is stored.</div><div><br></div><div>Jim A</div><div><br></div></div></div>