id: Гость   вход   регистрация
текущее время 21:17 17/11/2018
Владелец: unknown (создано 24/06/2012 17:27), редакция от 12/08/2015 22:34 (автор: unknown) Печать
Категории: софт, анонимность, tor
http://www.pgpru.com/Библиотека/Руководства/СетеваяАнонимность/ПродвинутоеИспользованиеTorвUnix/РаздельноеИспользованиеTorbrowserсСистемнымTorиПрозрачнаяТорификация
создать
просмотр
редакции
ссылки

Раздельный запуск Torbrowser от нескольких пользователей с общим системным Tor-процессом и локальная прозрачная торификация


Оглавление документа:

Цель варианта


  1. Использовать торбраузер с локальным системным тором вместо поставляемого в составе TBB.
  2. Осуществить одновременную работу нескольких пользователей системы через системный тор с построением различных цепочек для каждого пользователя посредством подключения к разным портам SocksPort и посредством прозрачной торификации на разные порты TransPort, DNSPort для других програм (опционально — для самого TBB использование прозрачной торификации устарело и не рекомендуется).
  3. Все пакеты, посланные из под конкретного пользователя торбраузером должны направляться файрволлом только на определённые порты локального хоста, связанные с работой системного тора. Это существенно исключает возможность утечки пакетов при уязвимостях в торбраузере, но существенно не защищает от преднамеренных целевых атак на данную конфигурацию.

Конфигурация тор


Остановите системный тор: /etc/init.d/tor stop. Если в текущей версии с этим есть проблемы, используйте kill.
Закомментируйте в конфиг-файле /etc/tor/torrc опцию SocksListenAddress 127.0.0.1. Она устарела, по умолчанию тор слушает только локальные соединения.


В случае проблем с запуском /etc/init.d/tor start, можно в ответ на соответствующие ошибки добавлять опции:


Для прозрачной торификации по умолчанию и для работы через SocksPort тора используются опции:


Следует добавить нужное количество дополнительных портов:


Поскольку порт 9051 занят, то добавим опции управляющего порта:


Управляющий порт м.б. использован для работы с программой tor-arm, показывающий статистику соединений с сетью tor и позволяющей менять цепочки для всех соединений.


Запуск тор /etc/init.d tor start не должен приводить к ошибкам и должен показывать, что все внесённые в конфиг порты работают нормально.

Настройка iptables


Во многих системах по-умолчанию используется сложный механизм инициализации, конфигурирования и хранения конфигов iptables. Подразумевается, что этот механизм отключен, а вместо него используется шелл-скрипт, который пользователь поддерживает самостоятельно. В Debian/Linux он может быть размещён, например, в /etc/network/if-pre-up.d. Здесь приведены только фрагменты такого скрипта, относящиеся к рассматриваемому варианту торификации.


Закроем снаружи все открытые тор-порты, даже если они принимают только локальные соединения:

$IPTABLES -- переменная содержит путь к iptables, обычно:
IPTABLES="/sbin/iptables"

# $INET_IFACE -- внешний сетевой интерфейс, обычно:
INET_IFACE="eth0"

# blocked_myports -- пользовательская цепочка для заблокированных портов

iptables -N blocked_myports; iptables -F blocked_myports

for PROTOCOL in TCP UDP; do
    for PORT in $(seq 53 58) $(seq 9040 9045) \
        $(seq 9050 90559059 9060do

        $IPTABLES -A blocked_myports -i $INET_IFACE -o !lo -p $PROTOCOL \
        --dport $PORT -j DROP

    done
done

$IPTABLES -A INPUT -p TCP -j blocked_myports
$IPTABLES -A INPUT -p UDP -j blocked_myports


Сделаем исключение из обработки для пакетов идущих на локальный хост.


$IPTABLES -t nat -A OUTPUT -o lo -j RETURN
$IPTABLES -t nat -A OUTPUT -d 127.0.0.1 -j RETURN


Правило для первого анонимного пользователя:


#Разрешим соединение с SOCKS-портом
$IPTABLES -t filter -A OUTPUT -d 127.0.0.1 -p tcp -m owner \
--uid-owner anonym_1 --dport 9051 -j ACCEPT

###Прозрачная торификация [начало]###
#
#Не требуется при работе TBB
#Может быть использована для одновременной работы других програм
#При отсутствии необходимости эти опции м.б. закоментированы

# Прозрачная торификация TCP на порт 9041

$IPTABLES -t nat -A OUTPUT  -p tcp -m owner --uid-owner anonym_1  \
 -m tcp -j REDIRECT --to-ports 9041
 
$IPTABLES -t filter -A OUTPUT  -d 127.0.0.1 -p tcp -m owner --uid-owner anonym_1  \
 -m tcp --dport 9041 -j ACCEPT
 
#Прозрачная торификация DNS на порт 54

$IPTABLES -t nat -A OUTPUT  -p udp -m owner --uid-owner anonym_1  \
 -m udp --dport 53 -j REDIRECT --to-ports 54

$IPTABLES -t filter -A OUTPUT  -d 127.0.0.1 -p udp -m owner --uid-owner anonym_1  \
 -m udp --dport 54 -j ACCEPT

#
###Прозрачная торификация [конец]###

#Больше этому пользователю ничего не разрешено:

$IPTABLES -A OUTPUT -m owner --uid-owner anonym_1 -j REJECT


По аналогии, правило для второго анонимного пользователя (с закоментированной прозрачной торификацией):


$IPTABLES -t filter -A OUTPUT -d 127.0.0.1 -p tcp -m owner \
--uid-owner anonym_2 --dport 9052 -j ACCEPT

#Прозрачная торификация закоментирована

$IPTABLES -t nat -A OUTPUT  -p tcp -m owner --uid-owner anonym_2  \
# -m tcp -j REDIRECT --to-ports 9042
 
#$IPTABLES -t filter -A OUTPUT  -d 127.0.0.1 -p tcp -m owner --uid-owner anonym_2  \
# -m tcp --dport 9042 -j ACCEPT

#$IPTABLES -t nat -A OUTPUT  -p udp -m owner --uid-owner anonym_2  \
# -m udp --dport 53 -j REDIRECT --to-ports 55

#$IPTABLES -t filter -A OUTPUT  -d 127.0.0.1 -p udp -m owner --uid-owner anonym_2  \
# -m udp --dport 55 -j ACCEPT

$IPTABLES -A OUTPUT -m owner --uid-owner anonym_2 -j REJECT


Разрешим выход наружу самому системному тору:


TOR_UID="debian-tor"

$IPTABLES -A OUTPUT -m owner --uid-owner $TOR_UID -j ACCEPT

Использование tor-arm


Использование пакета Vidalia с системным Tor нецелесообразно из-за полного сворачивания её поддержки. Рекомендуется завести отдельно пользователя, включить его в группу tor-arm и запускать из под него утилиту tor-arm.


Следует избегать запуска tor-arm из под пользователя debian-tor, несмотря на то, что такая рекомендация имеется в пакете и долгое время оставалась неисправленной.


Настройка торбраузера

Начиная с четвёртой версии браузер позволяет автоапдейт. Но в ранних версиях четвёртой ветки стабильность и безопасность этого механизма не гарантировалась. Даже после его стабилизации безопаснее скачивать браузер вручную и проверять контрольные суммы, заверенные подписями GnuPG. Список рекомендуемых версий доступен по ссылке. Скачивание возможно с адреса


Скачанные файлы с подписями и суммами можно разместить в отдельном каталоге и проверить скриптом:

#! /bin/sh

echo > tbbchecklog.txt

sha256sum -c sha256sums-unsigned-build.txt 2>&1 | grep OK >> tbbchecklog.txt

echo >> tbbchecklog.txt

for a in sha256*.asc ; do 
 gpg --verify $a sha256sums-unsigned-build.txt >> tbbchecklog.txt 2>&1 ; 
 echo >> tbbchecklog.txt
done

echo >> tbbchecklog.txt

gpg --verify tor-browser-linux64*.asc >> tbbchecklog.txt 2>&1

echo >> tbbchecklog.txt


Перед ручным обновлением рекомендуется экспортировать старые закладки в файл, удалить старый распакованный каталог TBB. Впоследствии возможно импортировать закладки из файла обратно в новый распакованный браузер (вкладки: Bookmarks — Show all Bookmarks — Import and Backup).


Существует вероятность уязвимости в браузере, приводящая к утечке закладок. Поэтому следует рассмотреть целесообразность хранения определённых закладок торбраузера для конкретного анонимного профиля.


В распакованном каталоге TBB удалите расширение запуска Tor из связки:



Запустите TBB:



Зайдите в настройки: Edit → Preferences → Advanced → Network → Settings


И выберите опции:



Для другого пользователя следует выбирать другой порт, в соответствии с настройками файрволла. Следует также обращать внимание на возможность сброса этих настроек при перезапуске.


В адресной строке браузера нужно набрать about:config, для внесения некоторых опций, перечисленных в скрипте запуска start-tor-browser:


# extensions.torbutton.custom.socks_host  127.0.0.1
# extensions.torbutton.custom.socks_port  <SocksPort>
# extensions.torbutton.inserted_button    true
# extensions.torbutton.launch_warning     false
# extensions.torbutton.loglevel           2
# extensions.torbutton.logmethod          0
# extensions.torbutton.settings_method    custom
# extensions.torbutton.socks_port         <SocksPort>
# extensions.torbutton.use_privoxy        false
# app.update.auto                         false


В торбраузере, начиная с версии 4.5, организована корректная работа с SOCKS-портом, при этом для разных доменов выбираются разные исходящие узлы и существует возможность менять исходящий узел для каждой вкладки при помощи опции New Tor Circuit for this Site в Torbutton. При этом из-за удаления плагина tor-launcher, предназначенного для запуска локального (несистемного) Tor, часть опций tor-button будет недоступна. В связи с этим рекомендуется настраиваеть торбраузер на работу с системным тором именно через SOCKS-порт, а не через прозрачную торификацию. Прозрачная торификация может быть использована для этого же пользователя для работы с другими программами, но ей лучше не пользоваться при повышенных требования анонимности из-за опасениях утечки профилирующих и идентифицирующих данных, а также по другим возможным причинам.


После сохранения изменений следует перезапустить TBB. В разных вкладках на разных доменах TBB должен показывать разные IP-адреса, а при проверке через одинаковые домены — соответственно одинаковые в пределах жизни цепочки. Проверку наличия обновлений можно периодически осуществлять и вручную, например по основной ссылке рекомендуемых версий и скачивания новой версии.


Можно запустить два и более TBB из под разных пользователей одновременно. При одновременной проверке они должны показывать разный IP-адрес исходящих узлов при проверке на одном и том же домене.


При работе из-под одного пользователя для смены профиля рекомендуется перезапустить браузер и сменить все цепочки программной tor-arm или отправкой сигнала системному тор-процессу.


 
На страницу: 1, ... , 9, 10, 11, 12, 13, ... , 16 След.
Комментарии [скрыть комментарии/форму]
— unknown (17/02/2015 09:38, исправлен 17/02/2015 09:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Я подозревал, что будет нечто такое, но не знал, что заболевание зашло до такой стадии. :(

— Гость (21/03/2015 06:18)   <#>
В /var/log/tor/log, т.е. на диск, по умолчанию пишется много лишнего — например, какой был эксит в конкретный момент времени, когда Tor'у не удалось пробиться на сайт. Можно понизить уровень логирования или перевести логи в другое место, где будет отдельный шифрованный периодически затираемый убийством слота LUKS-раздел. Однако, можно сделать другой компромисс: писать все логи в /tmp, который подмонтирован в память, при этом, раз ничего на диск не пишется, уровень логирования можно сделать даже более детальным и менее безопасным. Минус этого решения в том, что при внезапном зависании компьютера логи будут безвозвратно утеряны (если они вдруг понадобятся). В общем, если считать, что старые логи ненужны, то всё делается хорошо следующими шагами:

  1. В /etc/rc.local прописываем:
    TORDIR=/tmp/tor
    TORFILE=$TORDIR/log
    mkdir $TORDIR
    touch $TORFILE
    chown debian-tor:adm $TORDIR $TORFILE
    chmod u=rwx,g=rxs,o-rwx $TORDIR
    chmod u=rw,g=r,o-rwx $TORFILE
  2. В /etc/tor/torrc прописываем:
    Log notice file /tmp/tor/log
    (для простоты считаем, что других Log-опций там нет).

  1. Перечитываем конфиг Tor'а, если он уже запущен:
    # kill -1 `cat /run/tor/tor.pid`
  2. Затираем Tor-логи в /var. В предположении, что /var зацеплен на отдельный LUKS-том это делается (в идеале) так:

    1. Грузимся из-под другой системы, где есть установленный rdiff-backup. Монтируем /var нужной нам ОС в, допустим, /mnt/var.
    2. Удаляем ненужные файлы в /mnt/var и обнуляем те, которые хотим оставить на диске, через cat > filename.
    3. Делаем полную копию /var на другой раздел/директорию через
      # rdiff-backup -v5 --print-statistics /mnt/var /path/to/var-backup
    4. Убиваем слот на LUKS-томе, куда монтировался /mnt/var:
      # cryptsetup luksKillSlot /dev/mapper/VAR_LUKS_NAME 0
    5. Снова создаём LUKS-раздел (команды понятны) и монтируем его в /mnt/var.
    6. Восстанавливаем сохранённое дерево /var-файлов из бэкапа:
      # rdiff-backup -r now -v5 /path/to/var-backup /mnt/var
Директория в /tmp/tor создана по образу и подобию директории /var/log/tor, но это, в принципе, излишне: если не нужно, чтобы cron периодически архивировал логи, то доступ группе adm, наверно, не нужен вообще. Пункт 4 в плане затирания /var универсален и может использоваться для очистки и других логов в нём. Возможно, есть подводные камни в том, как rdiff-backup обходится с симлинками и специальными файлами, но, в принципе, он в этом отношении достаточно аккуратен и продуман (сам пока его на системных директориях, где это важно, не тестировал).

В случае кощеевой смерти вторую ОС можно легко сделать клонированием существующей: достаточно создать новый логический LVM-том того же размера, что и основной системный; через dd записать туда побайтовую копию; а при загрузке в меню grub'а указать root=/dev/VolumeGroupName/NEW_ROOT_NAME (проверено, работает) — этого достаточно. Однако, если потом из-под клона попытаться получить доступ к основной ОС, начнутся конфликты с uuid'ами и именами LVM-томов (разруливаемые теоретически, но довольно сложно практически), поэтому лучше использовать какую-то независимую инсталляцию (её можно сделать в аналогичный логический LVM-том, как и клон), а LVM-том с бэкапом ОС использовать только как бэкап на самый пожарный случай. В принципе, бэкап можно делать и не побайтово, а через тот же rdiff-backup, но из-под живой системы клонировать корневую файловую систему считается плохим тоном, поэтому всё равно нужна какая-то служебная независимая ОС-инсталляция для таких целей.
— Гость (28/04/2015 14:18)   <#>
Что там с 4.5? Мои итоги пока таковы:

  1. Скрипт start-tor-browser.desktop — зло, игнорим его.

  1. Удляем Tor-ланчер:


  1. Чтобы было как раньше, запускаем
    $ ./Browser/start-tor-browser --debug
    (иначе логи никакие не пишутся вообще).

  1. Вместо отключения JS якобы можно доверять их Security Slider:

    On the security front, the most exciting news is the new Security Slider. The Security Slider provides user-friendly vulnerability surface reduction – as the security level is increased, browser features that were shown to have a high historical vulnerability count in the iSec Partners hardening study are progressively disabled. This feature is available from the Tor onion menu's "Privacy and Security Settings" choice.

    Но даже при high-уровне about:config показывает, что JS включен. Лучше отключить по-старинке руками.

  1. Настройки сети из луковицы исчезли (при нажатии на «Tor network settings» ничего не открывается). Можно их поменять в стандартном месте, но после этого луковица перечёркивается красным крестом. С точки зрения TBB, Tor якобы выключен в этот момент. Если зайти на ip-check.info, то похоже, что вывод TorBrowser'а всё же патчится, параметры хорошие (кстати, теперь локальные шрифты читать сайты якобы не могут — для этого выставить high в слайдере).

  1. Youtube смотрится на Low-левел, с остальными не тестил. Где там рекомендуемый «click to play» — непонятно. При тыканиях можно только локально разрешить скрипты на данной странице.

Для любителей видалии:

The menu now provides information about the current Tor Circuit in use for a page, and also provides an option to request a new Tor Circuit for a site. Tor Browser is also much better at handling Tor Circuits in general: while a site remains in active use, all associated requests will continue to be performed over the same Tor Circuit. This means that sites should no longer suddenly change languages, behaviors, or log you out while you are using them.

На тему certificate pinning:

Backport HTTPS Certificate Pinning patches from Firefox 32

Другое интересное:

We also now make full use of Tor's circuit isolation to ensure that all requests for any third party content included by a site travel down the same Tor Circuit. This isolation also ensures that requests to the same third party site actually use separate Tor Circuits when the URL bar domain is different. This request isolation is enforced even when long-lived "HTTP Keep-Alive" connections are used.

Spoof window.devicePixelRatio to avoid DPI fingerprinting

Provide automatic window resizing, but disable for now

P.S. Вроде всё не так плохо, но задизейбленный знак луковицы меня смущает. Можно попробовать ту инструкцию, если она ещё актуальна, или запустить TBB штатным образом, дав ему выйти в сеть, а потом поменять настройки сети на правильные. Есть идея, что «Tor network settings» не открывается, потому что порты 9150/9151 закрыты файерволлом.
— unknown (28/04/2015 14:26, исправлен 28/04/2015 14:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Для поокошечной изоляции цепочек придётся как-то открывать порты на системный тор и давать торбраузеру рулить системным тором (через пароль, куки или сокеты), чего делать не хотелось бы. Может поэтому и луковица перечёркнутая — теперь связь с процессом тора считается обязательным условием работы? Можно конечно более одного окошка в браузере не открывать, или открывать всё только на одну тему, но это будет создавать профилирование в ряде случаев.

— Гость (28/04/2015 14:57)   <#>
В контекте новости от ressa,а можно запустить шлюз whonix от отдельного пользователя и пускать весь трафик через него (шлюз). Задача такоже рода как в топе обсуждается.
— unknown (28/04/2015 15:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Та новость про другое.
— Гость (28/04/2015 15:09)   <#>

Зачем? Как я понимаю, для каждого окна TorBrowser формирует свою строку аутентификационных данных и передаёт её SOCKS-серверу. Локальный SOCKS-сервер или системный — уже не важно.


Вот непонятно, да.


Открыл, но это ничего не поменяло. В Tor-ланчере, который запускается по умолчанию, есть только опции настройки бриджей и локального прокси (через который должен ходить локальный Tor). Поменять настройки портов Tor'а там по-прежнему нельзя. В общем, без удаления Tor-ланчера никак.

Вместо того, чтобы лезть в официальные Network Settings, можно открыть about:config и вручную поменять опцию extensions.torbutton.socks_port, дав ей нужный порт системного Tor'а. Однако, TorBorowser после этого продолжает упорно ломиться на дефолтный Tor — он же тот, который прописан в network.proxy.socks_port. Тогда мы меняем и эту опцию на нужный порт тоже. После этого и волки сыты луковица остаётся зелёной, и сеть работает. Впрочем, это логично. Сейчас проверил, как было в старых TBB: там, если в настройках torbutton'а меняешь порт Tor'а на кастомный, то и в стандартном месте в сетевых настройках TorBrowser'а тоже будет отображаться новый кастомный порт.

Конечно, любители работать через системный Tor никакого непосредственного контроля над цепочками не получат. У меня такое впечатление, что работоспособность опции «Tor network settings» целиком завязана на Tor-ланчер, который мы вынужденны удалять, чтобы запустить TorBrowser, поэтому при клике на неё ничего и не происходит.


Вот тут вообще чудеса. Идём на гугл — он показывает google.ru (видимо, эксит из РФ попался). Идём в консоль, растертим цепочки, снова открываем вкладку с гуглом — опять получаем google.ru. И я такой финт раз 5 повторил. Как ему удаётся? Наверно, он держит соединение с сайтом, поэтому при рестарте цепочек реально оно не сбрасывается, так что теперь если гуглокапча блочит поиск*, без рестарта браузера и закрытия всех вкладок никак его не вылечить — рестарт цепочек в консоли не поможет.

У этой опции есть и другой негатив. Допустим, хотим сменить цепочку для одного и того же сайта. Для этого есть «New Tor Circuit for this Site». При клике на неё страница перезагружается, но что происходит на самом деле — неясно. Таки смена происходит, как и должно. Это можно потестить на странице https://check.torproject.org. Однако, с гуглом этот фокус не прокатывает, потому что при открытии google.com реально он открывает какое-нибудь
https://www.google.xx/?gfe_rd=XX&xx=XXXXXXXXXXXXXXXXXXXXXX&gws_rd=xx
т.е. даёт юзеру идентификатор. Далее при рестарте цепочек гугл пользователя распознаёт и возвращает ему ровно ту же национальную страницу, даже если страна эксита поменялась. Соответственно, если юзер напоролся на блок, то блок не снимается. Открытие новой вкладки с гуглом тоже проблему не решает. Не знаю, как ещё куки во всём этом участвуют.

Впрочем, всё ещё тоньше. Такая штука возникает, если открывать google.com, а если какой-то национальный домен, то мусор к урлу не приписывается, так что для него смена цепочек, может быть, и будет работать правильно.


Спасибо, а то мы не знали. Поинтересуйтесь, кто и когда тут впервые написал про Whonix, потом поинтересуйтесь его обсуждением на этом сайте и не открывайте нам больше Америк. Whonix, как и Tails — больше для домохозяек. Кому нужно, он и сам соберёт подобное под себя и свои нужды.

* До бесконечности выдаёт разные капчи, сколько их ни приходи.
— unknown (28/04/2015 15:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В текущей доке у меня всё настроено вообще не через Socks (с ним исторически были проблемы), а через TransPort (порт прозрачной торификации). М.б. для этой фичи жизнеспособен какой-то вариант из трёх:

  1. Всё-таки нужен доступ к управляющему порту с аутентификацией.
  2. Достаточно доступа к Socks порту, но без п.1
  3. Через TransPort гипотетическая строка аутентификационных данных также работает.
— Гость (28/04/2015 15:48)   <#>
Я бы проголосовал за второй вариант. Первый, скорей всего, тут ни при чём, а третий не взлетит по принципиальным причинам: если браузер настроен на прозрачку, он считает, что никакого SOCKS-сервера нет и в помине. Как и зачем ему тогда делать аутентификационные данные? Аутентификация — часть SOCKS-протокола, но при прозрачке SOCKS вообще не используется. Как вы в этом случае представляете себе авторизацию? Советую вам перенастроить на тот вариант, который у меня — всё на системный SOCKS и разнести по портам, заодно и правила настроите, а то мне одному скучно выпячивать, будем выпячивать вдвоём.
— unknown (28/04/2015 15:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Так правило для Socks уже есть в доке, оно было закоментировано как временно не работающее. Затем Socks починили, но были ещё какие-то проблемы из-за которых я на него так и не перешёл.
— Гость (28/04/2015 16:01)   <#>

Повспоминайте. Может быть, те проблемы уже неактуальны. В конце концов, можно совмещать. Например, каких-то юзеров пускать через прозрачку, а каких-то через SOCKS. Одно другому, насколько я знаю, не противоречит. Главное — надёжно всё прикрыть файерволлом.


... до первого рестарта TorBrowser'а. ☺ После рестарта луковица опять становится перечёркнутой. Идём в настройки и видим, что extensions.torbutton.socks_port вернул дефолтный порт. Меняем его на правильный. Теперь он такой же, как и у network.proxy.socks_port, но луковица не зеленеет. Однако, «New Tor Circuit for this Site», судя по https://check.torproject.org, продолжает работать. Часть проблем, наверно, можно решить, если отказаться от смены дефолтного порта.
— Гость (28/04/2015 16:06)   <#>

Фиксится просто: меняем extensions.torbutton.socks_port на какой-то порт X, потом network.proxy.socks_port на X — луковица зеленеет. Затем повторяем процедуру для правильно порта Y (порядок смены опций, полагаю, важен). Конечно, делать так после каждого рестарта браузера подзадолбает, так что лучше поставить системным портом тот, который в TBB.
— unknown (28/04/2015 16:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В рассылке и баг-репортах было, что в Socks что-то отваливалось по таймауту при каких-то условиях, а у пользователей TransPort всё работало. Вроде это пофиксили, но это дополнительно отбило желание переходить на Socks. При принудительном заворачивании также избегается проблема DNS-утечек.


Хотелось бы и для одного псевдопользователя: чтобы что-то шло явно на Socks, а остальное прозрачно торифицировалось.


Если параллельных псевдопользователей много то для них в системном торе открыты разные порты. Никакого единственно правильного порта не предусмотрено.
— Гость (28/04/2015 17:28)   <#>

Зачем вам нужен локальный DNS? Я себе просто зарубил весь UDP-трафик в зародыше и сплю спокойно.


Можно, но фаерволлом такие ситуации уже корректно не разрулить/не прикрыть, он же только по --uid-owner фильтрует (что вы лучше меня знаете).


Если мы запускаем браузер только от одного пользователя, то ему можно такой порт выделить. Остальным юзерам, от которых запускаются другие вещи, можно назначить иные порты.

Если б были гостевые ОС на разных IP, но одном и том же порту, то разделение по цепочкам тоже было бы. Правда, не знаю, можно ли в гостевых ОС указать 127.0.0.1:9150, а потом файерволлом перенаправить весь трафик оттуда на определённый IP:порт хостовой ОС, будет ли это правильно понятно Tor'ом...
— Гость (28/04/2015 17:49)   <#>

Да, думаю, можно. В PF rdr-правила именно такие штуки и делают (проброс портов и т.п. вещи). TorBrowser будет всё слать на 127.0.0.1:9150, а Tor будет получать трафик с виртуальной локалки, но не знаю, правда, с каким src IP. Дело в том, что rdr переписывает dst IP, но не трогает src IP, а раз так, то трафик на Tor будет приходить как бы с локалхоста. Файерволл такое может не переварить. Ну, и в Linux это всё делается ещё сложней (но делается). Можно, конечно, по-тупому сделать SSH port forwarding, но это будет всесторонне неправильный overkill для такой задачи.
На страницу: 1, ... , 9, 10, 11, 12, 13, ... , 16 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3