全体の目次

目標の設定と環境の準備
 ZoneMinderのインストール
 ZoneMinderの全般設定
 カメラの登録
 パフォーマンスの調整
 アクセスのブロック
 外部からのアクセス
 ZmNinjyaの使用（未)

このページでやること

Tapoやimouでは、カメラから（おそらく）中国にあるサーバーに対して接続が行われる。Tapo（TP-Link）もImou（Dahua Technology)も信頼できる会社ではあるが、会社が信用できるだけでは納得できない。

ここでは、ネットワークルーターの設定を行い、カメラから外部に対するアクセスを禁止させる。

一般的に、普通のルーターであればデフォルトでは外部（カメラのメーカ）から、カメラに対して接続を開始することはできない。カメラ側からメーカに接続してそこから通信が行われる。そのため、カメラ→メーカへの接続をブロックするだけで十分。

ファイアーウォールの設定

多くのルーターにはファイアウオール機能が備わっている。ここでは、nuro光のF660Aの設定例を示す。

IPアドレスの確認

これまでのステップで、カメラのIPアドレスが固定されている。
RaspberryPi 4B でZoneMinderを使用する Part4…カメラの登録

事前に、カメラのIPアドレスをすべて調べておく。

ファイアウオールの登録

FT660Aでは、セキュリティ>IPフィルタ>Ipv4フィルタでファイアウォールが指定できる。指定は、カメラからの上りデータフロー（LANからインターネット）の方向のTCPアクセスをすべて禁止する、と指定する。

項目	設定値	意味
有効にする	オン	この設定を有効にする
プロトコル	TCP	TCPのコネクションを禁止する。今のところ、UDPなどで通信するカメラを知らないが、TCP AND UDPやANYが指定できる場合それでも良い。（送信元ポート、宛先ポートを指定する場合、TCPにしておく必要がある）
名前	任意の名前	わかりやすい名前を付けておく。カメラの設定変更時などは、この設定を「無効」にしたうえで、メーカー提供のアプリケーションを使用する必要がある。その際に、「どれだったけ」とならないように、わかりやすい名前にしておく
送信元IPアドレス	カメラのIPアドレス	カメラのIPアドレスを指定する。開始と終了で範囲を指定できることもある。カメラのIPアドレスが連続していれば、ここで範囲を指定することで設定が1回で済む。
宛先IPアドレス	空欄	空欄にするとすべての宛先に対する通信が禁止される。特に必要が無ければ空欄にしておく。IPアドレスなどがわかっていれば、ここに接続先のIPアドレスを書いても良い。
送信元ポート	検討	状況に応じて検討する
宛先ポート	検討	状況に応じて検討する
着信インタフェース	LAN	着信をLAN、発信をWANに指定することで、上りデーターフローを指定できる。この指定は各製品のマニュアルを参照する
モード	拒否	拒否で良い

ポートの指定について

ポートの指定については、いくつかパターンが考えられる。Tp-link TAPOの例で考える。C-100やC-200が、中国のどのサーバーに、どうやってアクセスするか正確にわからない。
そのため、すべての外部通信を遮断する方法が最も高いセキュリティになる。

一方、Raspberry PIを使った監視カメラサーバーでは、ライブビューはサブストリームの低解像度に限定されている。そのため、高解像度のライブビューを家の外（スマホなど）から見るためには、RTSPビュアーIPCam viewerなどに対して、外部にrtsp(554)を公開する必要がある。

高いセキュリティが必要な場合、送信元ポート、宛先ポートとも空欄にしておく。外部に対するすべての通信が禁止される。

RTSPアクセスを外部に許す場合、送信元ポート、あて先ポートとも、１～550までを禁止する。これで、TP Linkに対して通信のイニシエーションが出来なくなる。（TP Linkのソフトウェアもカメラを見つけることが出来なくなる）　おそらく、これで十分だと思われるが、未知の方法で通信が行われる可能性も否定できない。

設定の確認

設定が正しく行われているかは、Wifiをオフにしたスマホで、各カメラの専用ソフトウェア（Tapo ソフトウェアやimou Life）を起動しカメラのライブビューが表示できないことを確認する。また、アプリを再起動してカメラに接続できない（オフライン）状態になっていることを確認する。

RaspberryPi 4B でZoneMinderを使用する Part6…アクセスのブロック