вопросы по Tor'y
Здравствуйте
Мне очень понравился Ваш сайт, и много нового подчерпнул для себя.
Есть вопросы по настройке связки Tor+Privoxy:
1. Вместо DNS провайдера я записал адрес 127.0.0.1, даже теоретически мои запросы к DNS провайдера не могут пройти, что подтверждается логами снифера. Верна ли моя теория, или же нет?
2. Что посоветуете для тонкой настройки клиента Tor? Какие значения внести в конфигурационный файл клиента? Аналогично по Privoxy что посоветуете?
3. Встал вопрос о настройке фаервола, но не знаю с чего начать, не понимаю что надо открыть для того что бы сеть Tor функционировала, объясните на пальцах как надо настраивать, для каких адресов разрешить активность для каких запретить. я так понимаю что для 127.0.0.1 можно разрешить любые действия, а вот дальше не понимаюкуда капать :(
Заранее благодарен
комментариев: 98 документов: 8 редакций: 10
2. В конфиг привокси для удобства добавить домены с которых хотите оставлять cookie, по умолчанию выставить режим +session-cookies. Ну а вообще там куча опций, читайте документацию и этот сайт :)
3. Для tor разрешить исходящие TCP соединения на любой адрес/порт (можно ограничить самым употребительными портами, но в принципе сервера могут быть на любом порту).
2. Да я читал видел сколько там опций, хотелось бы слышать мнение других.
3. По подробней если можно :) Объясните как происходят соединения. Просто действительно я запутался и не чего на ум не приходит.
Через какие порты клиент тора обновляет необходимую для работы информацию.
комментариев: 98 документов: 8 редакций: 10
Через те которые обьявлены конкретным сервером как DirPort. Onion соединения от клиента сервер слушает на порту OrPort. По умолчанию это 9030 и 9001 соответственно. Но никто не мешает оператору сервера назначить любые другие порты. Вот смотрите network-status – последние две цифры в строке каждого узла это OrPort и DirPort.
Похожее обсуждение.
комментариев: 112 документов: 8 редакций: 15
В Linux можно было бы сделать так:
iptables -I OUTPUT 1 -p tcp --dport domain -m owner ! --uid-owner tor -j REJECT
iptables -I OUTPUT 2 -p udp --dport domain -m owner ! --uid-owner tor -j REJECT
Tor соответственно запускать под пользователем tor.
комментариев: 11558 документов: 1036 редакций: 4118
Ряд Tor-узлов слушают на портах, отличных от разрешённых Вами (соответственно, к ним Вы подключиться не сможете). Я бы по меньше мере открыл диапазон 9000-9100, а в лучшем случае разрешил Tor'у любые исходящие TCP-соединения (выше можно поставить запрет --dport domain, как предложил ПэГусев).
Касаемо настройки Privoxy, можно воспользоваться его веб-интерфейсом. Если программа запущена, а в браузере она указана как прокси, откройте в браузере адрес http://p.p (или сразу пройдите по этой ссылке). Privoxy имеет несколько преднастроенных конфигураций — Cautious, Medium, Advanced, — отличающихся жёсткостью фильтрации. Вам достаточно выбрать любой из них, а затем слегка донастроить. Скажем, у меня установлен вариант Medium, однако управлять cookie я предпочитаю средствами браузера, поэтому в Privoxy они полностью разрешены. Кроме того, кэш является потенциальной проблемой для анонимности, поэтому дополнительно включена рандомизация для +hide-if-modified-since и +overwrite-last-modified (это дополнительная мера на случай непредвиденных ситуаций. Лучше просто отключить кэш в браузере или установить в Firefox расширение TorButton, автоматически сбрасывающее кэш при переключении между Tor-режимом и открытым режимом).
комментариев: 83 документов: 4 редакций: 4
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 112 документов: 8 редакций: 15
Кстати, tor ведь DNS-запросы посылает тоже на OrPort? Тогда прошу прощения, разрешать tor-клиенту соединяться с портом 53 не надо.
Можно запретить всем.
add allow tcp from 127.0.0.1 to 127.0.0.1 8118 via lo0
add allow tcp from 127.0.0.1 8118 to 127.0.0.1 via lo0
add allow tcp from 127.0.0.1 to 127.0.0.1 9050 via lo0
add allow tcp from 127.0.0.1 9050 to 127.0.0.1 via lo0
add allow tcp from xxx.xxx.xxx.xxx to any 80,443,8080,9001,9030 via rl0
add allow tcp from any 80,443,8080,9001,9030 to xxx.xxx.xxx.xxx via rl0
add 65535 deny ip from any to any
где xxx.xxx.xxx.xxx мой ip-адрес, я так понимаю в список правил больше не чего добавить? Или всё же ещё что нибудь?(насчёт портов с 9000-9100, я понял, просто ещё не разобрался как диапозон задавать)
Далее идут более "косметические" вопросы, но ответы на них я тоже бы хотел получить.
1. Почитал что можно обновления для тора получить в зашифрованном виде, добавив соотвествующую строчку в конфиг, но в моей версии тора она не поддерживается, а порт для более новой версии ещё не вышел, поэтому думаю повременить с этим, хотя кто то предлагал записать в конфиг строку HttpProxy 127.0.0.1:8118, но у меня это не сработало, может быть посоветуете что нибудь? Версия Tor'a: tor-devel-0.2.0.2.a
2. Не пойму как в привокси заставить работать user.action. В конфиге Privoxy раскоментировал строчку, внёс необходимые настройки, но почему то не работает. Я правельно понимаю, что user.action перекрывает настройки для default.action теми что записаны в user.action?
3. Не могу не в какую заставить Thunderbird коннектится к серверу почты через тор, прочёл всю ветку нашёл настройки но, клиент отказывается работать. Сначало говорил что не правельный пароль, а потом вообще по таймауту завершал соединение, со вторым понятно, но вот почему не верный пароль я до сих пор понять не могу, раз 30 пробывал не получилось. как посоветуете вылечить?
P. S to SATtva впринципе то что Вы предложили, я уже сделал до того как спросить, наверное моя вина в том, что я не привёл пример своей конфигурации. И на том спасибо, что ещё раз объяснили.
комментариев: 112 документов: 8 редакций: 15
Правильно.
В конфиге есть строчка "actionfile user"? И идёт она после "actionsfile default"?
$ grep ^actionsfile /etc/privoxy/config
actionsfile standard # Internal purpose, recommended
actionsfile global # Global default setting for all sites
actionsfile default # Main actions file
actionsfile user # User customizations
Если строчка есть, конфиг вообще читается?
$ /usr/sbin/privoxy --no-daemon /etc/privoxy/config
Sep 24 16:15:15 Privoxy(b7e556c0) Info: loading configuration file '/etc/privoxy/config':
комментариев: 11558 документов: 1036 редакций: 4118
Очень редкие экзит-узлы поддерживают выход на стандартные почтовые порты (прежде всего во избежание использования сети Tor как отличной стартовой площадки для рассылки спама). Вы работаете с почтовым сервером по открытому каналу (т.е. порты 110/25) или по каналу, защищённому SSL (порты 995/465)? Во втором случае шанс корректной работы должен быть выше.
я это понял, просто прочитал что люди настраивали, и решил попробывать. Да я использую SSL.
P. S Если Вас не затруднит, хотелось бы увидеть ваше мнение/советы насчёт остальных вопросов, особенно насчёт фаервола, и обновления тора. Заранее благодарен.