Даже при включенных параметрах FascistFirewall +
и правильно прописанных адресах корп.прокси и порта в torrcTOR на фразе "We have now enough information to build a circuit" скромно замолкает и через некторое время выдает scrubbing, бла-бла-бла, giving up. Чего бы еще такое написать в конф.файле? Можно ли на корпоративном прокси вообще перекрыть Tor? Явно же что-то сделали админы, ведь до этого все исправно работало же. :-) В плане документации, которую удалось найти мне, Tor все-таки скудноват. Версия Tor 0.1.1.23.
комментариев: 1515 документов: 44 редакций: 5786
$ tor --Log notice &
Попробуйте другую информативность, выполняя ту же команду, но вместо notice пишите debug или info или warn или err. Самое сложное чем могут напакостить админы прокси – забанить айпишники корневых нод тора... Но нужную инфу можно скачать с них поставив промежуточный vpn или socks между вами и сетью tor. Данный вариант не позволит вообще анализировать траффик вашему админу: пользуетесь вы ещё тором окромя vpn или нет.
комментариев: 3 документов: 1 редакций: 0
Sep 19 18:18:08.046 [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
Sep 19 18:18:08.046 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 19 18:18:09.703 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '68.144.165.225:80' while fetching "/tor /status/fp/38D4F5FCF7B1023228B895EA56EDE7D5CCDCAF32.z". I'll try again soon.
Sep 19 18:19:10.640 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '65.254.53.63:80' while fetching "/tor/status/fp/38D4F5FCF7B1023228B895EA56EDE7D5CCDCAF32.z". I'll try again soon.
Sep 19 18:20:11.968 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '24.11.233.143:80' while fetching "/tor/status/fp/7EA6EAD6FD83083C538F44038BBFA077587DD755.z". I'll try again soon
А вот с ключом debug
Sep 19 18:32:24.968 [notice] Tor v0.1.1.23. This is experimental software. Do not rely on it for strong anonymity.
Sep 19 18:32:24.984 [notice] Converting FascistFirewall config option to new format: "ReachableDirAddresses *:80"
Sep 19 18:32:24.984 [notice] Converting FascistFirewall config option to new format: "ReachableORAddresses *:443"
Sep 19 18:32:25.000 [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
Sep 19 18:32:25.000 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 19 18:32:25.062 [debug] parse_dir_server_line(): Trusted dirserver at 18.244.0.188:9031 (46DB)
Sep 19 18:32:25.062 [debug] parse_dir_server_line(): Trusted dirserver at 18.244.0.114:80 (E45D)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 86.59.21.38:80 (1F85)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 140.247.60.64:80 (F5FC)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 194.109.206.212:80 (EAD6)
Sep 19 18:32:25.078 [info] or_state_load(): Loaded state from "C:\Documents and Settings\Application Data or/state"
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry '*:443'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry 'reject *:*'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry '*:80'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry 'reject *:*'
Sep 19 18:32:26.421 [info] router_load_routers_from_string(): 974 elements to add
Sep 19 18:32:26.578 [info] router_load_routers_from_string(): 0 elements to add
Sep 19 18:32:26.625 [debug] check_directory_signature(): Signed directory hash starts D5AA85A6
Sep 19 18:32:26.640 [info] router_set_networkstatus(): Setting networkstatus cached from directory server "lefkada" at 140.247.60.64:80 (published 2006-09-19 13:40:32)
Sep 19 18:32:26.640 [info] networkstatus_list_update_recent(): Networkstatus from directory server "lefkada" at 140.247.60.64:80 (published 2006-09-19 13:40:32) is now "recent"
Вот. Так что – действительно не может он достучаться до корневых нод. Блин – но почему?
комментариев: 1515 документов: 44 редакций: 5786
$ Sep 23 15:54:17.728 [notice] Tor v0.1.1.23. This is experimental software. Do not rely on it for strong anonymity.
Sep 23 15:54:18.137 [notice] Initialized libevent version 1.1a using method kqueue. Good.
Sep 23 15:54:18.195 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 23 15:55:39.213 [notice] We now have enough directory information to build circuits.
Sep 23 15:57:49.622 [notice] Our directory information is no longer up-to-date enough to build circuits.
Sep 23 15:57:49.728 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:57:57.761 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:03.549 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:07.542 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:11.377 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:19.328 [notice] We now have enough directory information to build circuits.
Sep 23 15:59:19.988 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
у вас в случае благоприятного исхода должно выводиться что-то похожее. Особенно последняя фраза (при запуске как tor --Log notice).
комментариев: 3 документов: 1 редакций: 0
Открытыте порты на прокси мне известны, админ эту информацию не сильно скрывает. Я кстати не смог найти описания параметров reject по Ip. Где это? В параметрах ExitPolicy? Если есть возможность, опишите это пожалуйста поподробнее. И еще – все-таки, что дает запуск к лючом debug? Я вижу, что он пишет not enough accepteable routers. Ну и что? Причины то почему их недостаточно – я не понимаю, к сожалению. :-)
И КСТАТИ! Почему такая разница в этой фразе [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
У Вас kqueue, а у меня imweasel using method win32. :-) Интересно... :-)
комментариев: 11558 документов: 1036 редакций: 4118
А разница сообщений при Вашем пуске и у spinore в разных ОС.
комментариев: 3 документов: 1 редакций: 0
Вы не знаете ответа на мой вопрос в предыдущем сообщении, по поводу параметров reject по IP?
Про разницу сообщений при запуске, сообразил уже тогда, когда напечатал вопрос и отправил сообщение. :-)
Вы подтвердили мои догадки. :-) :D
комментариев: 1515 документов: 44 редакций: 5786
ReachableAddresses ADDR[/MASK][:PORT]...
wall allows you to connect to. The format is as for the
addresses in ExitPolicy, except that "accept" is understood
unless "reject" is explicitly provided. For example, 'Reach-
ableAddresses 99.0.0.0/8, reject 18.0.0.0/8:80, accept *:80'
means that your firewall allows connections to everything inside
net 99, rejects port 80 connections to net 18, and accepts con-
nections to port 80 otherwise. (Default: 'accept *:*'.)
©
В частности, политика может выглядеть так, например:
ReachableAddresses *:22, accept *:80, accept *:443, accept *:5222, accept *:5223, reject *:*
[Это значит, открыты порты стандартные порты ssh, http, https, jabber, jabber+ssl], и все остальные считаются недостижимыми для коннекта к тор. Но это ограничивает множество серверов с которых можно обновлять информацию о состоянии тора, что делается автоматически после его старта. Я к тому, что включать данную опцию следует только тогда, когда уже твёрдо известно о том, что порты запрещены.
Я не знаю что думать в вашем конкретном случае... По ssh-то он вас пускает? Это тоже ведь туннелирование :) Между прочем, ssh не обязан быть поднят на 22-ом порту. И забанить ssh на самом деле означает уметь распознавать сетевой протокол, что не так просто. В случае тора всё проще: в правилах файерволла можно запретить соединения с торовскими нодами при условии что они идут на определённых портах. Ну что ж, возможно вас забанили. Предлагаю решение, которое будет работать на любом юниксе – программу proxychains. Она умеет формировать цепочки из прокси, что вам и понадобится для теста. Для винды тоже аналоги такой программы есть но я не запоминал как они называются. Ставите директивную политику в конфиге такой программы: 1-я прокся – обычная, сокс, заведомо рабочая, 2-я прокся – тор. Кстати, что касается именно proxychains, то её новейшая версия умеет даже dns-резловинг делать через связку проксей с которыми работает. После этого можно будет точно подвести итоги. Только вначале проверьте свою сокс-прокси отдельно на предмет работоспособности :) Надеюсь, ваш админ не дошёл до уровня рапознавания сетевого
протокола а только ограничился айпиадресами и портами. Если же нет – не отчаивайтесь, против любой защиты есть обход и наоборот. Будем биться пока победим! :)
Итак, если у вас в цепочке проксей тор благополучно заработает, значит дело в админе – он закрыл соответствующие джефолтные корневые торы нода с их портами. Если же нет, то либо ведётся распознающий анализ протокола (что маловероятно), либо проблема лично с вами. Моё мнение – у вас нездоровая версия тор какая-то что ли. Попробуйте его переустановить, и взять новую версию.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 1515 документов: 44 редакций: 5786
Версия TOR у меня самая свежая, и все замечательно работало даже с USB флэшки. На самом деле, уже появился спортивный интерес, как это можно победить. :-) Администратор находится в более выигрышном положении, чем я. Кстати, а где посмотреть адреса нод? Если я смогу к ней (ноде) обратиться, значит ли это, что не все потеряно? :-)
комментариев: 11558 документов: 1036 редакций: 4118
В общем, это похоже на положение дел в Китае. Для таких случаев разработчики предлагают получать список узлов несетевым способом, устанавливать на ПК и уже после этого подключаться к Tor'у — он сможет сразу установить связи.
В общем, и это не гарантия, поскольку Ваш админ может парсить тот же список всех Tor-узлов и блокировать связь со всеми заданными в нём IP. Как обойти такую блокировку без использования внешнего прокси по защищённому каналу я не представляю.
комментариев: 1515 документов: 44 редакций: 5786
К солову о "профессионализме админов" могу рассказать свои случаи из жизни:
1. Админы удосужились банить внутренний NAT по ttl. Причём забанили весь траффик с ttl=127. Когда мы решили проблему я очень долго смеялся.
2. При простановке чужого мака сервер отвечал у нас, что правильный мак – такой-то. (Дибилизм, но это правда). А потому когда я сменил себе сетевую, не записав старый мак я польщзуясь подсказкой без перегистрации снова сделал себе сеть. А вообще, таким способом можно было бы чужой траффик воровать в принципе.
P. S: у нас были далеко на самые глупые админы...