Tor и обход firewall'а
Задача: настроить tor, чтобы прорвать сетевую блокаду прокси/firewall'а/фильтра.
torrc:
HttpProxy zloy.proxy:8080
HttpsProxy zloy.proxy:8080
FascistFirewall 1
Результат: zloy.proxy возвращает "Proxy error 502: Не поддерживается" на запросы к 194.109.206.212:80 и 86.59.21.38:80, к которым tor пошел за списком для построения circuit'ов. При этом если ходить браузером, то ошибка по этим authority-серверам действительно та же. Но 140.247.60.64:80 показывает страничку firefox'у и выдает 502 tor'у.
Пробовал ReachableDirAddresses 85.25.148.216:80 – tor не хочет идти туда за списками.
Интересно другое. Действительно ли 502 свидетельствует о том, что сервера забанены?..
комментариев: 11558 документов: 1036 редакций: 4118
Вообще цензурирующий сервер может возвращать любой код ошибки. Что-либо доказать или достоверно сказать здесь нельзя.
Если цензура действительно есть, а блокировка проводится только по IP корневых узлов, Вы можете попросить другого пользователя прислать Вам свежий файл cached-routers, а в конфиге прописать TunnelDirConns 1. А можно воспользоваться новой функциональностью бриджей.
Используя чужие cached-routers ( http://www.mail-archive.com/or.....en.net/msg04273.html ), одержал полную и безоговорочную победу. Теперь у меня есть ssh и putty, и можно попробовать способ #2.
Будущим поколеньям:
tor v0.2.0.5-alpha, torrc:
HttpProxy zloy.proxy:8080
HttpsProxy zloy.proxy:8080
FascistFirewall 1
PreferTunneledDirConns 1
TunnelDirConns 1
Качаем .zip по ссылке, распаковываем, пускаем tor, ждем (сейчас было секунд 40), прозреваем
[notice] We now have enough directory information to build circuits.
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
и открываем шампанское ( http://torcheck.xenobite.eu/ ).)
... очень долго ждем, потому как дескрипторы действительны только 2 дня, даже если "подрегулировать" код, общее время жизни открытых ключей от узлов не изменится и будет 2 недели. В ссылке на зип (от июля) из ссылки выше эти недели явно улетучились, узлы просто не поймут что им пытаются послать, и будут лишь грязно ругаться в логи своим операторам. Предлагаю шампанское покупать после уверенности в свежести кеша от помошника, по преодалению цензуры :)
Впрочем исключая этот момент и причины блокирования (считаем что они не законны :) ) поколения будут довольны. ;)
P. S. или кеш был более свежий, а ссылка только пример?
Кстати FascistFirewall, требует указания портов которые доступны через опцию FirewallPorts, в противном случае не используется. И сама опция считается устаревшей, лучше использовать семейство опций Reachable|(OR/DIR)|Addresses.
Извиняюсь, ошибка, 80 и 443 используются если не указано иное. Но сама опция устаревшая, и на уровне кода преобразуется в ReachableAddresses.
Вы совершенно правы: с PreferTunneledDirConns, TunnelDirConns и без cached-routers все соединилось (сейчас – минуты за 3).