Risolto (era: Vlan, Debian, VPN, zoneminder...)

0 views
Skip to first unread message

Giuliano Curti

unread,
Sep 24, 2021, 3:40:03 PMSep 24
to
Ciao a tutti,

finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante.

Ovviamente "termine" e "funzionante" sono termini eccessivi poiché ho ancora molto da affinare e prima ancora da imparare, però riesco a connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto.

Il sistema di videosorveglianza si basa essenzialmente su "motion" senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire e perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder).

La fase di connessione remota si è semplificata; non c'è stato bisogno di attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte (oltre alla 22 per consentire anche la connessione SSH) sul router e il gioco è fatto.

Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico per il router; ho attivato una sim presso un provider nazionale destinata al telecontrollo; purtroppo l'indirizzo pubblico non è stato automatico; ci sono volute un po' di chiamate (nelle quali ho raccolto tutto lo spettro dello scibile: si può, attenda qualche giorno, già fatto, non si può fare), ma alla fine, dopo una settimana di stenti, l'ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento.

Ringrazio tutti dei consigli e soprattutto della pazienza; l'unico modo che mi rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile.

Grazie, un saluto,
Giuliano

Giancarlo Martini

unread,
Sep 25, 2021, 1:10:02 AMSep 25
to
Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.

Giuliano Curti

unread,
Sep 26, 2021, 8:00:03 AMSep 26
to
Il sab 25 set 2021, 07:45 Giuliano Curti <giuli...@gmail.com> ha scritto:
Il sab 25 set 2021, 07:03 Giancarlo Martini <gianca...@gmail.com> ha scritto:

.........

Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.

ecco che si apre un nuovo capitolo di studio :-)  :-) :-) 

Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite?

Domanda collegata: quale policy adottare per iptables o basta lasciar tutto libero che ci pensa il router?

Grazie, saluti,
Giuliano

Giancarlo Martini

unread,
Sep 26, 2021, 10:30:02 AMSep 26
to
In che senso quale suggerimento?
Quanti tentativi e/o quale intervallo?

Fail2ban credo usi iptables per impostare le regole di accesso/non accesso

--
Giancarlo Martini
(Replace 'AAA' con '@')  
mailto:giancarlo.firAAAgmail.com

Piviul

unread,
Sep 27, 2021, 9:10:03 AMSep 27
to
Il 26/09/21 13:59, Giuliano Curti ha scritto:
Il sab 25 set 2021, 07:45 Giuliano Curti <giuli...@gmail.com> ha scritto:
Il sab 25 set 2021, 07:03 Giancarlo Martini <gianca...@gmail.com> ha scritto:

.........

Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.

ecco che si apre un nuovo capitolo di studio :-)  :-) :-) 

Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite?

fail2ban, se non ricordo male, si basa sul fatto che ogni failed access sicuramente viene memorizzato in qualche log. Per creare un plugin fail2ban per un certo servizio (motion? motioneye? zoneminder?) mi sembra di ricordare che sia sufficiente dirgli quale file di log monitorare (dipende il servizio dove memorizza l'auth failed) e una regular expression per estrapolare il failed auth... comunque ricordo che era piuttosto semplice e ben documentato; prova a dare un'occhiata.

Piviul

Giuliano Curti

unread,
Sep 30, 2021, 6:50:04 AMSep 30
to
Il dom 26 set 2021, 16:20 Giancarlo Martini <gianca...@gmail.com> ha scritto:

Scusa Giancarlo, mi era sfuggito il msg :-(

In che senso quale suggerimento?
Quanti tentativi e/o quale intervallo?

Fail2ban credo usi iptables per impostare le regole di accesso/non accesso

Si, fail2ban utilizza iptables, però lo usa con istruzioni molto selettive, mirate a bannare i comportamenti dolosi (i singoli ip).

Sulla mia rPi4 per default le policy di iptables sono tutte "ACCEPT", forse si potrebbe immaginare qualcosa di meno permissivo.

È vero che il router dovrebbe fare passare solo le chiamate SSH (porta 22) e MOTION+TELECAMERE (5 porte) quindi l'intervento di fail2ban potrebbe bastare, però chiedevo, da newby delle reti, se serviva maggior protezione.

--
Giancarlo Martini
(Replace 'AAA' con '@')  
mailto:giancarlo.firAAAgmail.com

Grazie, saluti,
Giuliano

PS: per SSH ho visto istruzioni per fail2ban, ma per MOTION ancora nulla; nessuno per caso ha già affrontato il problema?
Reply all
Reply to author
Forward
0 new messages