Можно ли считать, что соединение идет через Tor?

IMHO, запустите wireshark, там как-то всё нагляднее.

Включите разрешение DNS для перехваченых пакетов.

Все DNS-запросы должны исходить только от самого wireshark с определением имён
узлов сети Tor. Внутри пакета всё должно быть зашифровано или нести служебные данные, не должно быть DNS-запросов к тем узлам, с которыми вы соединяетесь.

13:33:29.484669 IP tor.fsf.org.https > 00.35878: . ack 7093 win 683 <nop,nop,timestamp 982470630 2835767> 13:33:29.871127 IP tor.fsf.org.https > 00.35878: P 7250:7836(586) ack 7093 win 683 <nop,nop,timestamp 982470669 2835767> 13:33:29.871221 IP 00.35878 > tor.fsf.org.https: . ack 7836 win 5972 <nop,nop,timestamp 2835904 982470669> 13:33:31.231225 IP 00.bootpc > mygateway1.ar7.bootps: BOOTP/DHCP, Request from 00:00:00:00:00:00 (oui Unknown), length 300 13:33:31.232422 IP mygateway1.ar7.bootps > 00.bootpc: BOOTP/DHCP, Reply, length 548

а последние две строчки – это что, утечка DNS-запроса?

Это DHCP-клиент ломится. Поглядите какой он вам IP выдаёт (обычно DHCP-сервер настраивается так, что IP жёстко привязаны к маку по идеологии "новый мак – новый IP), и пропишите этот IP статикой в /etc/rc.conf, после чего dhcp-клиент отключите вообще. Я всегда так делал, и почти всегда это работает, зато не рискуете параметрами которые dhcp-клиент утягивает с сервера, а сами всё прописываете (свой IP, gw и DNS).

Уважаемые сообщники, не подскажите начинающему линуксоиду,

...сообщники? Ха. Может ещё подельники? Или братья по оружию?

1. А есть к Wireshark мануал на русском? А то у нее какой-то сложный ГУЙ, не могу понять, как она работает + глючит и зависает на моем старом ноуте, на котором я тестирую/учусь работать с Debian.
2. У меня ADSL подключение через роутер, в нем в принципе можно прописать статическую маршрутизацию. Это надо также дублировать в /etc/rc.conf?
P. S. У меня адрес DNS-сервера в конфигах системы указан адрес роутера – 168.192.1.1, в роутере указан DDNS прова. Может как то это деанонимизировать меня при работе через Tor?

1. Маловероятно что на русском есть.

2. Статика хорошо, если у прова параметры не меняются и он по DHCP раздаёт одно и тоже.
P. S. При правильной настройке не должно.

1. "Внешний" ip – динамический, и регулярно меняется провом. Внутренние ip, ессно, присваются DHCP роутера, типа 192.168.1.2 .3 .4 и т.п.
Сам роутер, ессно имеет внутренний ip 192.168.1.1
Внутренние адреса устройств можно присвоить вручную статические, привязав к MAC-адресам сетевых интерфейсов (eth и wlan), есть ли в этом смысл?
2. А вот еще какая бяка у меня в логах tor'а:
Mar 16 17:26:46.474 [warn] Your application (using socks5 to port 995) is giving Tor only an IP add$ Mar 16 17:36:43.813 [warn] Your application (using socks5 to port 995) is giving Tor only an IP add$ Mar 16 17:46:43.594 [warn] Your application (using socks5 to port 995) is giving Tor only an IP add$ Mar 16 17:49:35.085 [warn] Your application (using socks5 to port 587) is giving Tor only an IP add$ Mar 16 17:50:32.683 [warn] Your application (using socks5 to port 587) is giving Tor only an IP add$ Mar 16 17:56:48.343 [warn] Your application (using socks4 to port 995) is giving Tor only an IP add$
Судя по портам, это icedove (последняя запись связана с тем, что я увидев эту ругать в его настройках прописал вместо socks5 socks4a).
Как с этим бороться?
(В iseweales кстати тоже ссылка на socks5, но вроде по его поводу не ругается; я так понимаю, последний идет на привокси, а этот? И вообще, для почтового клиента насколько это угрожает анонимности пользователя?)
3. А как проверить правильность настройки? И где? В системе или в роутере?

А wireshark надо от рута открывать?

А есть к Wireshark мануал на русском? А то у нее какой-то сложный ГУЙ

Ну вообще предполагается что раз вы сели разбираться с Linux то у вас нет проблем ни с английским, ни с консолью...

Внутренние адреса устройств можно присвоить вручную статические, привязав к MAC-адресам сетевых интерфейсов (eth и wlan), есть ли в этом смысл?

Вообще говоря есть, если следовать принципу "всё что не требуется быть разрешённым должно быть запрещено". Для Linux кстати можно прописать ещё более страшную вещ, сделав истиный статический рутинг через интерфейс, делается эта магия посредством следующих команд:
ifconfig eth0 CLIENT_IP netmask 255.255.255.255 route add SERVER_IP dev eth0 route add default gw SERVER_IP
И лучше ещё сразу добавить и статический мак:
arp -s SERVER_IP SERVER_MAC

И вообще, для почтового клиента насколько это угрожает анонимности пользователя?)

Как новичку я бы вам посоветовал для начала использовать почту только через веб-интерфейс, для надёжности в анонимности.

А вообще у вас каша в голове. Топология сети у вас такова: ISP GW <---> YOUR GW <---> YOUR COMP. Вы должны настроить тор, прайвоси и прочее либо у себя (на YOUR COMP) либо на своём рутере (YOUR GW). Но минимальная настройка типа обеспечения рутинга/DHCP/прочего делается как на стороне своего рутера так и на стороне своей машины. На свое машине вы настраиваете только клиентскую конфигурацию, а на своём рутере – и клиентскую (по отношению к ISP) и серверную (по отношению к своему десктопу).

А wireshark надо от рута открывать?

Естественно. В нормальных системах по умолчанию сниферить соединения может только суперпользователь (root), ибо машина по умолчанию предполагается многопользовательской. Но если вам очень хочется, можно дать права на это любому другому пользователю.

Стоит ли в указанных целях в настройках роутера установить настройки DNS Proxy?

Не думаю. Может быть, стоит при желании настроить свой DNS-сервер, но на вешй стадии думаю это пока перебор (я и сам до этого ещё не дошёл). Оконечная ваша машина должна иметь тот же DNS-сервер в настройках, что и рутер. DNS-резолвинг она будет делать через рутер (допустим, у вас NAT – тогда машина видит, что IP DNS'а не из локальной сети, и шлёт DNS-запросы на рутер, так как рутер для неё – default gateway). Кстати, в качества DNS-сервера можно указать любой публичный, и не обязательно тот, что предлагается провом. Работать будет примерно так же.

1. Вы думаете нормально прописывать в компьютере, который за NATом, настройки DNS-сервера, отличные от nameserver 192.168.1.1? Или все-таки реальный внешний DNS-сервер должен быть настроен в роутере?
2. Думаю действительно привязать ip к macам в локалке, однако есть ли резон отлкючать DHCP, если речь идет о ноутбуке, с которого заходишь в сеть не только из дома?

1. Вы думаете нормально прописывать в компьютере, который за NATом, настройки DNS-сервера, отличные от nameserver 192.168.1.1?

Ну это на ваш вкус :-D Например, локальные сети, как показывает мой опыт, часто болеют болезнью "DNS накрылся". В таких случаях я меняю текущий DNS и попёр браузить дальше. В среднем публичные DNS постабильнее будут чем локальные, которые админятся пупкиными. Есть какой-то смысл, если уж жить натуральным хозяйством, и свой DNS держать. Это, ессно, позволяет внести в него тонкие настройки по своему вкусу, например, сделать свои DNS-имена на ряд серверов.

Или все-таки реальный внешний DNS-сервер должен быть настроен в роутере?

По вкусу опять же. Если вы полностью доверяете своему рутеру, и решаете всё настраивать на его стороне – то почему бы и нет? Например, я могу вообразить ситуацию, когда я хочу свои сетевые настройки держать в тайне от посторонних глаз и на шифрованной ФС, а рутер иметь широФС не позволяет – тогда я всё буду настраивать на оконечной машинке. Btw, в наш век я вообще не очень понимаю зачем нужны рутеры? Современные ОС позволяют сделать практически всё то же, что и стандартные рутеры в домашней сети. Чтобы не тянуть провода настраивается wifi, ибо почти каждая wifi-карточка может работать и на приём и отдачу сигнала... Имхо, удобно.

есть ли резон отлкючать DHCP, если речь идет о ноутбуке, с которого заходишь в сеть не только из дома?

Я для таких случаев держу две конфигурации, и руками их меняю вместе со сменой места выхода в сеть. Обычно всем можно рулить меняя лишь файл /etc/rc.conf Можно написать и скрипт, который автоматизирует процесс... Это кому как нравится. Лично я себя чувствую комфортнее при ручном управлении сетевыми настройками (как только один раз заспуфили в локалке по маку, так сразу приучился не доверять, и все mac'и только на статике через arp -s).