Elikkä tuli aikani kuluksi viriteltyä vanhaan raspiin MotioneyOS, kun sellainen lojui kameramoduulin kera laatikossa, ok tuossa ei nyt sinällään ollut virittelyä…
Toiseen Raspiin olin jo aiemmin laittanut pyörimään Pi-holen, lisäksi asensin siihen Pivpn:n wireguardilla ja avasin reitittimeltä portin… Nämä pyörivät Diet-Pi:n päällä…
VPN yhteys esim kännykältä toimii, pääsen sisäverkossa MotionEye näkymän käsiksi, samoin DNS kyselyt välittyvät Pi-holelle kuten pitääkin…
Kun ufw:n kytkee päälle, ei VPN kautta pääse enää MotionEyelle. Mitä tuossa pitäisi sallia jotta tuo toimii, mutta ei toisaalta olisi liikaa sallittu…
Toisaalta taas… Juu onhan tuo jo yhden rautapalomuurin takana jonne pääsy on vain yhten porttiin joka menee VPN yhteydelle… Mutta silti tuon mielelllään viilaisi tuonne vielä siten että yhteydet toimivat eikä liikaa sallittuna. Olisipa opettavaista kuten projekti tähän mennessä jo opettanut uutta verkkopuolesta, joka jäänyt aiemmin hieman vieraammaksi…
Tämänhetkiset säännöt:
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 192.168.1.0/24
[ 2] 51820 ALLOW IN 192.168.1.0/24
[ 3] 80/tcp ALLOW IN 192.168.1.0/24
[ 4] 53/tcp ALLOW IN 192.168.1.0/24
[ 5] 53/udp ALLOW IN 192.168.1.0/24
[ 6] 8081/udp ALLOW IN 192.168.1.0/24
Noilla ei ainakaan toimi ja listaa saisikin varmasti lyhentää, ainakin tuo nro 6 ehkä pois (portti on MotionEye OS stream portti, mutta web käyttöliittymä on portissa 80). Olen kokeillut allow out asetuksiakin, mutta enää en muista oliko siinä jossain vaiheessa tuo portti 80 (täytyy kokeilla se nyt vielä)… Olen kokeillut myös allow out optioita ilman määrittelyä sisäverkkoon, myös VPN IP alueelle, mutta yöllä kun noita virittelin, ei tullut otettua ylös mitä kaikkea oli jo kokeilussa… Eikö toisaalta sisäverkolle asti oikeudet periaatteessa riitä, kun VPN kautta jo sinneasti on pääsy?
Mutta koska en haluaisi ylipäätään vain kokeilla, mieluiten siis se järkevä ratkaisu + perustelu jota pureskella ja ottaa opiksi, joten päätin nyt kysyä täältä…