trueten.de

„Wenn nur noch Gehorsam gefragt ist und nicht mehr Charakter, dann geht die Wahrheit, und die Lüge kommt.“ Ödön von Horváth

Roborock S5 Max und Firewalls

Wenn man alles verbietet, was nicht erlaubt ist, machen manche Apps oder Smarthomegadgets Probleme. So auch unser Roborock S5 Max, der nach dem Hinzufügen einiger Geoblocking IPs in der FireWall seine Karte nicht mehr findet. Klar, denn das Teil kommt bekanntlich aus dem Reich der Mitte und bei allen derartigen Geräten spioniert Xiaomi, der Mutterkonzern von Roborock im Auftrag von Maos Erben, dem ZK der KPCh meine Dissidentenwohnung aus. Oder so ähnlich, weshalb viele der Blockierlisten, die im Lande des natürlichen Gegners des Reiches Modor, den USA, gepflegt werden, hemmungslos am besten gleich die chinesische Toplevel Domain blockieren.
Nun ist ja nicht jeder Vorwurf an die Chinesen so falsch wie die Behauptung, daß die USA dergleichen selber niemals tun würden. Deshalb ist es eine gute Idee, nur die unbedingt notwendigen Quelle / Zieladressen und Ports in der Firewall zu öffnen.

Das betrifft im Falle des S5Max folgende Urls:

data.mistat.xiaomi.com
fr.app.chat.global.xiaomi.net
s3-eu-west-1.amazonaws.com

sowie den UDP Port 8053 für die folgenden IP Adressen:
3.122.217.21
3.124.122.199
52.28.26.121
52.57.224.199

Für die XiaoMiHome sowie die Roborock App: Die TCP Ports 6668 (XiaoMiHome) 8883 (Roborock) für die folgenden Adressen:
122.0.0.0
18.194.10.142
18.196.142.136
18.197.183.192
3.121.141.195
3.122.208.21

Ein anderer Ansatz wäre das Whitelisten der Adressen, im Gegensatz zum gezielten Öffnen bestimmter Ports für bestimmte Quell und natürlich nur für die in einem separaten Zielnetz arbeitenden Geräte. Letzteres erscheint mir jedenfalls sinnvoller, da durch das Whitelisten die Adressen auf alle Rechner im lokalen Netzwerk chinesische Reklame kommen würde.

pfSense: Midnight Commander installieren

Natürlich sollte man auf einer Firewall nur die nötigste Software installiert haben. Aber ein schicker ncurses Dateimanager wie den Norton Commander Clone Midnight Commander gehört ja mehr oder weniger dazu. Standardmäßig ist er jedoch nicht in den Paketquellen enthalten, weswegen man diese nachrüstet, freilich aus vertrauenswürdigen Quellen:


pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/png-1.6.34.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libslang2-2.3.1_3.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/kbproto-1.0.7.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/xproto-7.0.31.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libXau-1.0.8_3.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libXdmcp-1.1.2.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libpthread-stubs-0.4.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libxcb-1.12_2.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libX11-1.6.5,1.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/xextproto-7.3.0.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libXext-1.3.3_1,1.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/libssh2-1.8.0,3.txz

pkg add http://pkg.freebsd.org/FreeBSD:11:amd64/release_2/All/mc-4.8.20_2.txz

Um einen direkten Zugriff aus der Shell zu erhalten muss man noch folgendes in die Konsole eingeben:


mv /usr/local/bin/mc /usr/local/bin/mc.real

echo 'sh -c "export SHELL=/bin/tcsh ; /usr/local/libexec/mc/mc-wrapper.sh"' > /usr/local/libexec/mc/mc

chmod +x /usr/local/libexec/mc/mc

sed -i.bak 's;/usr/local/bin/mc -P;/usr/local/bin/mc.real -P;' /usr/local/libexec/mc/mc-wrapper.sh

ln -s /usr/local/libexec/mc/mc /usr/local/bin/mc

Das ist nicht auf meinen Mist gewachsen, sondern ein Forenbeitrag.