Ciao a tutti,

finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante.

Ovviamente "termine" e "funzionante" sono termini eccessivi poiché ho
ancora molto da affinare e prima ancora da imparare, però riesco a
connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto.

Il sistema di videosorveglianza si basa essenzialmente su "motion" senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire e perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder).

La fase di connessione remota si è semplificata; non c'è stato bisogno di attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte
(oltre alla 22 per consentire anche la connessione SSH) sul router e il
gioco è fatto.

Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico
per il router; ho attivato una sim presso un provider nazionale destinata
al telecontrollo; purtroppo l'indirizzo pubblico non è stato automatico; ci sono volute un po' di chiamate (nelle quali ho raccolto tutto lo spettro
dello scibile: si può, attenda qualche giorno, già fatto, non si può fare), ma alla fine, dopo una settimana di stenti, l'ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento.

Ringrazio tutti dei consigli e soprattutto della pazienza; l'unico modo che
mi rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile.

Grazie, un saluto,
Giuliano

<div dir="auto">Ciao a tutti,<div dir="auto"><br></div><div dir="auto">finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante.</div><div dir="auto"><br></div><div dir="auto">Ovviamente &quot;termine&
quot; e &quot;funzionante&quot; sono termini eccessivi poiché ho ancora molto da affinare e prima ancora da imparare, però riesco a connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto.</

<div dir="auto"><br></div><div dir="auto">Il sistema di videosorveglianza si basa essenzialmente su &quot;motion&quot; senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire

e perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder).</div><div dir="auto"><br></div><div dir="auto">La fase di connessione remota si è semplificata; non c&#39;è stato bisogno di
attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte (oltre alla 22 per consentire
anche la connessione SSH) sul router e il gioco è fatto.</div><div dir="auto"><br></div><div dir="auto">Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico per il router; ho attivato una sim presso un provider nazionale destinata
al telecontrollo; purtroppo l&#39;indirizzo pubblico non è stato automatico; ci sono volute un po&#39; di chiamate (nelle quali ho raccolto tutto lo spettro dello scibile: si può, attenda qualche giorno, già fatto, non si può fare), ma alla fine,
dopo una settimana di stenti, l&#39;ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento.</div><div dir="auto"><br></div><div dir="auto">Ringrazio tutti dei consigli e soprattutto della pazienza; l&#39;unico modo che mi
rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile.</div><div dir="auto"><br></div><div dir="auto">Grazie, un
saluto,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e
pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.

--
Giancarlo Martini
http://www.giancarlomartini.it
http://www.linkedin.com/in/giancarlo-martini

Il ven 24 set 2021, 21:37 Giuliano Curti <[email protected]> ha scritto:

Ciao a tutti,

finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante.

Ovviamente "termine" e "funzionante" sono termini eccessivi poiché ho
ancora molto da affinare e prima ancora da imparare, però riesco a connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto.

Il sistema di videosorveglianza si basa essenzialmente su "motion" senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire e perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder).

La fase di connessione remota si è semplificata; non c'è stato bisogno di attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte (oltre alla 22 per consentire anche la connessione SSH) sul router e il
gioco è fatto.

Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico per il router; ho attivato una sim presso un provider nazionale destinata
al telecontrollo; purtroppo l'indirizzo pubblico non è stato automatico; ci sono volute un po' di chiamate (nelle quali ho raccolto tutto lo spettro dello scibile: si può, attenda qualche giorno, già fatto, non si può fare),
ma alla fine, dopo una settimana di stenti, l'ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento.

Ringrazio tutti dei consigli e soprattutto della pazienza; l'unico modo
che mi rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile.

Grazie, un saluto,
Giuliano

<div dir="auto">Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.<br><br><div data-smartmail="gmail_signature">--<br>Giancarlo Martini<br><a href="
http://www.giancarlomartini.it">http://www.giancarlomartini.it</a><br><a href="http://www.linkedin.com/in/giancarlo-martini">http://www.linkedin.com/in/giancarlo-martini</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il ven
24 set 2021, 21:37 Giuliano Curti &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Ciao a
tutti,<div dir="auto"><br></div><div dir="auto">finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante.</div><div dir="auto"><br></div><div dir="auto">Ovviamente &quot;termine&quot; e &quot;
funzionante&quot; sono termini eccessivi poiché ho ancora molto da affinare e prima ancora da imparare, però riesco a connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto.</div><div dir="
auto"><br></div><div dir="auto">Il sistema di videosorveglianza si basa essenzialmente su &quot;motion&quot; senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire e
perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder).</div><div dir="auto"><br></div><div dir="auto">La fase di connessione remota si è semplificata; non c&#39;è stato bisogno di
attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte (oltre alla 22 per consentire
anche la connessione SSH) sul router e il gioco è fatto.</div><div dir="auto"><br></div><div dir="auto">Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico per il router; ho attivato una sim presso un provider nazionale destinata
al telecontrollo; purtroppo l&#39;indirizzo pubblico non è stato automatico; ci sono volute un po&#39; di chiamate (nelle quali ho raccolto tutto lo spettro dello scibile: si può, attenda qualche giorno, già fatto, non si può fare), ma alla fine,
dopo una settimana di stenti, l&#39;ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento.</div><div dir="auto"><br></div><div dir="auto">Ringrazio tutti dei consigli e soprattutto della pazienza; l&#39;unico modo che mi
rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile.</div><div dir="auto"><br></div><div dir="auto">Grazie, un
saluto,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div></div> </blockquote></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il sab 25 set 2021, 07:45 Giuliano Curti <[email protected]> ha scritto:

Il sab 25 set 2021, 07:03 Giancarlo Martini <[email protected]> ha scritto:

.........

Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e

pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di
accesso.

ecco che si apre un nuovo capitolo di studio :-) :-) :-)

Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo
e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite?

Domanda collegata: quale policy adottare per iptables o basta lasciar tutto libero che ci pensa il router?

Grazie, saluti,
Giuliano

<div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il sab 25 set 2021, 07:45 Giuliano Curti &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><blockquote class="gmail_quote"
style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il sab 25 set 2021, 07:03 Giancarlo Martini &lt;<a href="mailto:[email protected]" target="_blank"
rel="noreferrer">[email protected]</a>&gt; ha scritto:<br></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">.........</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0
0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di accesso.<br></div></blockquote></div><
/div><div dir="auto"><br></div><div dir="auto">ecco che si apre un nuovo capitolo di studio :-)  :-) :-) </div></div></blockquote></div><div dir="auto"><br></div><div dir="auto">Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo
e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite?</div><div dir="auto"><br></div><div dir="auto">Domanda collegata: quale policy adottare per iptables o basta lasciar tutto libero che ci
pensa il router?</div><div dir="auto"><br></div><div dir="auto">Grazie, saluti,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">
</blockquote></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

In che senso quale suggerimento?
Quanti tentativi e/o quale intervallo?

Fail2ban credo usi iptables per impostare le regole di accesso/non accesso


Il giorno dom 26 set 2021 alle ore 14:00 Giuliano Curti <
[email protected]> ha scritto:

Il sab 25 set 2021, 07:45 Giuliano Curti <[email protected]> ha
scritto:

Il sab 25 set 2021, 07:03 Giancarlo Martini <[email protected]> ha
scritto:

.........

Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e >>> pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di >>> accesso.

ecco che si apre un nuovo capitolo di studio :-) :-) :-)

Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo
e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite?

Domanda collegata: quale policy adottare per iptables o basta lasciar
tutto libero che ci pensa il router?

Grazie, saluti,
Giuliano

--
Giancarlo Martini
(Replace 'AAA' con '@')
mailto:giancarlo.firAAAgmail.com <giancarlomartiniAAAgmail.com>

<div dir="ltr">In che senso quale suggerimento?<div>Quanti tentativi e/o quale intervallo?</div><div><br></div><div>Fail2ban credo usi iptables per impostare le regole di accesso/non accesso</div><div><br></div></div><br><div class="gmail_quote"><div dir=
"ltr" class="gmail_attr">Il giorno dom 26 set 2021 alle ore 14:00 Giuliano Curti &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px
solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il sab 25 set 2021, 07:45 Giuliano Curti &lt;<a href="mailto:[email protected]" target="_blank">[email protected]</a>&gt;
ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1e

This is a multi-part message in MIME format.
Il 26/09/21 13:59, Giuliano Curti ha scritto:

Il sab 25 set 2021, 07:45 Giuliano Curti <[email protected] <mailto:[email protected]>> ha scritto:

Il sab 25 set 2021, 07:03 Giancarlo Martini
<[email protected] <mailto:[email protected]>> ha scritto:

.........

Se esponi delle porte con un ip pubblico ti consiglio di usare
fail2ban e pw adatte. Le suddette porte saranno sicuramente
oggetto di tentativi di accesso.

ecco che si apre un nuovo capitolo di studio :-)  :-) :-)

Ho guardato la documentazione di fail2ban, sembrerebbe non
complicatissimo e quasi tutto già fatto; questo almeno per la SSH, ma
per Motion e le telecamere quale comportamento suggerite?

fail2ban, se non ricordo male, si basa sul fatto che ogni failed access sicuramente viene memorizzato in qualche log. Per creare un plugin
fail2ban per un certo servizio (motion? motioneye? zoneminder?) mi
sembra di ricordare che sia sufficiente dirgli quale file di log
monitorare (dipende il servizio dove memorizza l'auth failed) e una
regular expression per estrapolare il failed auth... comunque ricordo
che era piuttosto semplice e ben documentato; prova a dare un'occhiata.

Piviul


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">Il 26/09/21 13:59, Giuliano Curti ha
scritto:<br>
</div>
<blockquote type="cite" cite="mid:CAKpfxavpWgNmr+ccavtWT80PDaXOM1cq8VxVqYCLLpQUw=[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="auto">
<div class="gmail_quote" dir="auto">
<div dir="ltr" class="gmail_attr">Il sab 25 set 2021, 07:45
Giuliano Curti &lt;<a href="mailto:[email protected]"
moz-do-not-send="true">[email protected]</a>&gt; ha
scritto:<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">
<div>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Il sab 25 set 2021,
07:03 Giancarlo Martini &lt;<a
href="mailto:[email protected]"
target="_blank" rel="noreferrer"
moz-do-not-send="true">[email protected]</a>&gt;
ha scritto:<br>
</div>
<div dir="ltr" class="gmail_attr"><br>
</div>
<div dir="ltr" class="gmail_attr">.........</div>
<div dir="ltr" class="gmail_attr"><br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">Se esponi delle porte con un ip
pubblico ti consiglio di usare fail2ban e pw
adatte. Le suddette porte saranno sicuramente
oggetto di tentativi di accesso.<br>
</div>
</blockquote>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">ecco che si apre un nuovo capitolo di
studio :-)  :-) :-) </div>
</div>
</blockquote>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Ho guardato la documentazione di fail2ban,
sembrerebbe non complicatissimo e quasi tutto già fatto;
questo almeno per la SSH, ma per Motion e le telecamere quale
comportamento suggerite?</div>
</div>
</blockquote>
<p>fail2ban, se non ricordo male, si basa sul fatto che ogni failed
access sicuramente viene memorizzato in qualche log. Per creare un
plugin fail2ban per un certo servizio (motion? motioneye?
zoneminder?) mi sembra di ricordare che sia sufficiente dirgli
quale file di log monitorare (dipende il servizio dove memorizza
l'auth failed) e una regular expression per estrapolare il failed
auth... comunque ricordo che era piuttosto semplice e ben
documentato; prova a dare un'occhiata.</p>
<p>Piviul<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il dom 26 set 2021, 16:20 Giancarlo Martini <[email protected]> ha scritto:

Scusa Giancarlo, mi era sfuggito il msg :-(

In che senso quale suggerimento?

Quanti tentativi e/o quale intervallo?

Fail2ban credo usi iptables per impostare le regole di accesso/non accesso

Si, fail2ban utilizza iptables, però lo usa con istruzioni molto selettive, mirate a bannare i comportamenti dolosi (i singoli ip).

Sulla mia rPi4 per default le policy di iptables sono tutte "ACCEPT", forse
si potrebbe immaginare qualcosa di meno permissivo.

È vero che il router dovrebbe fare passare solo le chiamate SSH (porta 22)
e MOTION+TELECAMERE (5 porte) quindi l'intervento di fail2ban potrebbe
bastare, però chiedevo, da newby delle reti, se serviva maggior protezione.

--

Giancarlo Martini
(Replace 'AAA' con '@')
mailto:giancarlo.firAAAgmail.com <giancarlomartiniAAAgmail.com>

Grazie, saluti,
Giuliano

PS: per SSH ho visto istruzioni per fail2ban, ma per MOTION ancora nulla; nessuno per caso ha già affrontato il problema?

<div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il dom 26 set 2021, 16:20 Giancarlo Martini &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><div dir="ltr" class="
gmail_attr"><br></div><div dir="ltr" class="gmail_attr">Scusa Giancarlo, mi era sfuggito il msg :-(</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><
div dir="ltr">In che senso quale suggerimento?<div>Quanti tentativi e/o quale intervallo?</div><div><br></div><div>Fail2ban credo usi iptables per impostare le regole di accesso/non accesso</div><div dir="auto"></div></div></blockquote></div><div dir="
auto"><br></div><div dir="auto">Si, fail2ban utilizza iptables, però lo usa con istruzioni molto selettive, mirate a bannare i comportamenti dolosi (i singoli ip).</div><div dir="auto"><br></div><div dir="auto">Sulla mia rPi4 per default le policy di
iptables sono tutte &quot;ACCEPT&quot;, forse si potrebbe immaginare qualcosa di meno permissivo.</div><div dir="auto"><br></div><div dir="auto">È vero che il router dovrebbe fare passare solo le chiamate SSH (porta 22) e MOTION+TELECAMERE (5 porte)
quindi l&#39;intervento di fail2ban potrebbe bastare, però chiedevo, da newby delle reti, se serviva maggior protezione.</div><div dir="auto"><br></div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-
left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="auto">--<br></div></div><div dir="ltr"><div dir="ltr"><div>Giancarlo Martini</div><div>(Replace &#39;AAA&#39; con &#39;@&#39;)  <br>mailto:<a href="mailto:giancarlomartiniAAAgmail.com"
target="_blank" rel="noreferrer">giancarlo.firAAAgmail.com</a><br></div></div></div></blockquote></div><div dir="auto"><br></div><div dir="auto">Grazie, saluti,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div><div dir="auto">PS: per SSH ho
visto istruzioni per fail2ban, ma per MOTION ancora nulla; nessuno per caso ha già affrontato il problema?</div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)