"Народный контроллер" для теплового насоса

РЕКЛАМА НА ФОРУМХАУС

@Gaunt, лёх. Это не возможно.
1) если ты 1 раз угадал и поменял на 777 то любйо кто зайдет сможет редактировать? Или что б сбрасывалось каждые 5 минут? глупо...
2) мне не нравится, что кто-то будет видеть работу моего ТН. Мне нужна полная анонимность. Думаю другим тоже...
3) постоянные дергания сильно будут нагружать ардуину... Сейчас в инернете огромнейшее количество ботов которые: a) индексируют все сайты включая варианты с ip: port б) ищут уязвимости перебирая порты и ip

Все это требует простейшей защиты... С сайтами это легко решается скриптами... Но у нас тут такой скрипт не сделать... буду искать изящное решение...

 

Не, оно конечно, если задаться целью...
Радикально-маниакальные случаи можно решить ЛАН изоляцией внутри сети. С поднятием чего-нибудь моста в своем вилане на какой-нибудь машине 2003года.
И это будет вполне оправдано в бюджете, если на эту машину навесить кучу функций. Начиная с главной - торента.
Второй радикальный способ - вытащить кабель из разъема после настройки. Вытащить какой-нибудь логический=механический выключатель из контроллера, лишь только замкнув который, возможно РЕДАКТИРОВАТЬ значения. Лицезреть - мне не жалко.

 

@Gaunt, см выше. не жалко может повесить контроллер ибо боты беспощадны... у людей сервера вешают, а тут несчастная ардуина

 

За роутером - сильно сомневаюсь, что будут проблемы. Конечно, если не задаваться целью заработать денег.
Защиты от дурака - достаточно.
Сетевой защитой - пусть занимаются специальные запчасти.

Есть смысл подумать на тему: разделить функцию "лицезреть" и функцию "редактировать".
Остальное - в топку.

 

@Gaunt, не смысла делить нету. Ладно короче проехали

просто каждый повесит на свой порт, никому более не известный вот и все

именно, кому надо - защитит.

 

Ещё как есть. Всяки шаловливы рученки не только в сети встречаются.
Мой младший, как и его маман, сначала делает - потом думает. Оно, конечно, можно и шнурок вытащить...Но у меня железка в подвале - не набегаешься. Так что актуально.

 

а повесить ардуину через сеть нельзя. для нее это будет обработка известных запросов. выдала что хотели и ушла дальше в цикл. если спросили не правильно, то дала глупый ответ. в цикле опросила все датчики, подкрутила ЭРВ, и ушла спрашивать сеть. даже если бот будет сидеть, он не повесит ардуину - он перекроет доступ к вебу.

 

@kir102, окей, перекроет, не на много лучше.

 

Ну во-первых от такого никто не застрахован (это решается другими, заточенными девайсами); а во-вторых, работа ТН сохранится и это главное.

 

@kir102, да верняк. Ограничимся случайным портом а и все... а дальше пустим в ход другие девайсы и тд... Главное что б работало.

 

Пока борюсь с w5200 - залез уже глубоко, но пока результатов нет. Что то в железе, пока не пойму что.

А причем здесь сетевой чип (w5200) и защита? Там реализован стек TCP/IP и UDP
до 8 соединений. Защита ложится на нас.

Порт поменять конечно можно и нужно (это будет настраиваться). Предлагаю сделать защиту по паролю (задается жестко в программе). И два варианта (выбирается в настройках)
- стартовая страница без пароля все остальные по паролю
- все по паролю.

Да это точно, но немного обождите я еще сетевую карту подкину рекомендации.

Я думаю что будет все медленно и печально. Даже на 80 мгц, да и памяти мало.

Как сделано у меня.
1. Дома есть NAS Synology (уже три года). Для использования его функционала я купил внешний айпишник. На нем поднято несколько сервисов - облако, домашний фото-сервер, заметки, файл помойка. В этом году я решил объединить домашнюю сеть с сетью в деревне. На сервак поставил openVpn сервер. И пробросил путь к нему из вне. Сеть 192.168.1.Х
2. В деревне - роутер под openWrt + usb модем + клиент openVpn. Происходит соединение с моем сервером (постоянное) Сеть 192.168.2.Х
3. Настроил правильно маршрутизацию (трахался дольше всего именно с этим).

Теперь я из деревни набираю с любого компа 192.168.1.Х и попадаю в домашнюю сеть. Из дома набираю 192.168.2.Х попадаю в деревню. С планшета запускаю Vpn клиента (соединяюсь с домом) и вижу обе сети по адресам.

У меня не будет проблем с доступом и трафик весь шифруется. Сервер openVpn можно легко поднять на домашнем роутере (openWrt, в кинетиках кажись есть из коробки).

Защиту по адресу тоже можно реализовать. Но это не имеет отношения к нашему контроллеру.

Резюме - предлагаю остановится на не стандартом порту (смене/настройке) + пароль до 10 символов (все остальное каждый накручивает в меру своей испорченности)

Пароль как писали выше это тот же функционал как датчик. Я думаю реализовать можно.

ЗЫ Пойду бороться с w5200, пока писал этот текст пришли свежие мысли что попробовать

 

А как по паролю в программе сделать защиту веба то ?
Т. к. открыл я к примеру свой адрес http://dobrinia.myddns.com:777 и увидел страницу авторизации => ввел пароль и увидил весь веб-интерфейс и могу лазить не вводя занаво пароли в течение сеанса.
Так можем?

если так сможем то этого достаточно.

 

У @Gaunt, кстати, хорошая идея была с фиктивным датчиком... только я бы предложил сделать доступ на чтение всего без авторизации, а на странице температурных датчиков предложить поля ввода для всех датчиков. Попытки ввода в эти поля игнорируются (с генерацией сообщения о недопустимом вводе), и только ввод правильного пароля в поле датчика улицы (например) вызывает переключение в режим редактирования. Для прочности можно сделать ограничение на количество попыток, скажем после 5-ти неправильных, адруина на 15-30 минут перестает отвечать на сетевой ввод...

 

А как по паролю в программе сделать защиту веба то ?
Т. к. открыл я к примеру свой адрес http://dobrinia.myddns.com:777 и уви

если так сможем то этого достаточно.

 

Подождем что ответит @Pav2000
мне, как разработчику сайтов, дико без авторизации показывать личную информацию анониму. Ни один производитель ТН так не делает, ниодна известная система управления сайтом так не делает... зачем? Похвастаться что у меня стоит ТН и греет с копом 8 дом?
Пару раз попадет, пусть и случайно, сслыка в паблик и все. Боты поисковые и скрипты сборы email, спамилки и прочая нечисть задолбут этот веб интерфейс.

Народ, я из опыта пишу, регулярно борюсь с такого рода проблемами, а вы предлагаете изначально оставить дырку... зачем?

В теории красиво, по факту будет так:
1) запустили свой веб-интерфейс, радуемся, случайно засветили его адрес в паблике.
2) постепенно боты начнут долбить инетрфейс, каждый со своей целью, и в это время интерфейс будет недоступен.
3) Через месяц-два хозяин уже не сможет достучаться до контроллера ибо все сокеты будут забиты ботами, их ресурсы безграничны!

Теперь давайте подумаем: оно нам нужно?
я не знаю как другим, мне нет. На работе по горло таких проблем.
Если можно сделать, как пишет @Pav2000, авторизацию по паролю жестко вбитому в прогу - отлично.
Если нельзя - будем искать хорошее решение без тунелей, vpn, и прочих надстроек. Средствами ардуино. А кому мало => как верно заметил топикстартер пусть извращается с внешними защитами.