id: Гость   вход   регистрация
текущее время 02:03 29/03/2024
Автор темы: Боб, тема открыта 19/09/2006 12:02 Печать
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ДажеПриВключенныхПараметрахFascistFirewall
создать
просмотр
ссылки

Даже при включенных параметрах FascistFirewall +


и правильно прописанных адресах корп.прокси и порта в torrcTOR на фразе "We have now enough information to build a circuit" скромно замолкает и через некторое время выдает scrubbing, бла-бла-бла, giving up. Чего бы еще такое написать в конф.файле? Можно ли на корпоративном прокси вообще перекрыть Tor? Явно же что-то сделали админы, ведь до этого все исправно работало же. :-) В плане документации, которую удалось найти мне, Tor все-таки скудноват. Версия Tor 0.1.1.23.


 
Комментарии
— spinore (19/09/2006 18:12)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Правильный ответ – нельзя. Но вам понадобится не малая квалификация дабы обойти уловки админов, если это, конечно, так. Для начала попробуйте стартовать с дефолтный конфигом torrc как
$ tor --Log notice &
Попробуйте другую информативность, выполняя ту же команду, но вместо notice пишите debug или info или warn или err. Самое сложное чем могут напакостить админы прокси – забанить айпишники корневых нод тора... Но нужную инфу можно скачать с них поставив промежуточный vpn или socks между вами и сетью tor. Данный вариант не позволит вообще анализировать траффик вашему админу: пользуетесь вы ещё тором окромя vpn или нет.
err
— Боб (19/09/2006 18:47)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
spinore, Спасибо. Да мне тоже казалось, что Tor достаточно сложно "заблокировать". Но вот факт. Воспользовался Вашим советом, запустив дефолтный конфиг с указанными ключами. Вот чего он пишет с ключом NOTICE (если интересно) :-)

Sep 19 18:18:08.046 [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
Sep 19 18:18:08.046 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 19 18:18:09.703 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '68.144.165.225:80' while fetching "/tor /status/fp/38D4F5FCF7B1023228B895EA56EDE7D5CCDCAF32.z". I'll try again soon.
Sep 19 18:19:10.640 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '65.254.53.63:80' while fetching "/tor/status/fp/38D4F5FCF7B1023228B895EA56EDE7D5CCDCAF32.z". I'll try again soon.
Sep 19 18:20:11.968 [warn] connection_dir_client_reached_eof(): Received http status code 404 ("Not Found") from server '24.11.233.143:80' while fetching "/tor/status/fp/7EA6EAD6FD83083C538F44038BBFA077587DD755.z". I'll try again soon

А вот с ключом debug

Sep 19 18:32:24.968 [notice] Tor v0.1.1.23. This is experimental software. Do not rely on it for strong anonymity.
Sep 19 18:32:24.984 [notice] Converting FascistFirewall config option to new format: "ReachableDirAddresses *:80"
Sep 19 18:32:24.984 [notice] Converting FascistFirewall config option to new format: "ReachableORAddresses *:443"
Sep 19 18:32:25.000 [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
Sep 19 18:32:25.000 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 19 18:32:25.062 [debug] parse_dir_server_line(): Trusted dirserver at 18.244.0.188:9031 (46DB)
Sep 19 18:32:25.062 [debug] parse_dir_server_line(): Trusted dirserver at 18.244.0.114:80 (E45D)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 86.59.21.38:80 (1F85)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 140.247.60.64:80 (F5FC)
Sep 19 18:32:25.078 [debug] parse_dir_server_line(): Trusted dirserver at 194.109.206.212:80 (EAD6)
Sep 19 18:32:25.078 [info] or_state_load(): Loaded state from "C:\Documents and Settings\Application Data or/state"
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry '*:443'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry 'reject *:*'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry '*:80'
Sep 19 18:32:25.093 [debug] parse_addr_policy(): Adding new entry 'reject *:*'
Sep 19 18:32:26.421 [info] router_load_routers_from_string(): 974 elements to add
Sep 19 18:32:26.578 [info] router_load_routers_from_string(): 0 elements to add
Sep 19 18:32:26.625 [debug] check_directory_signature(): Signed directory hash starts D5AA85A6
Sep 19 18:32:26.640 [info] router_set_networkstatus(): Setting networkstatus cached from directory server "lefkada" at 140.247.60.64:80 (published 2006-09-19 13:40:32)
Sep 19 18:32:26.640 [info] networkstatus_list_update_recent(): Networkstatus from directory server "lefkada" at 140.247.60.64:80 (published 2006-09-19 13:40:32) is now "recent"

Вот. Так что – действительно не может он достучаться до корневых нод. Блин – но почему?
— spinore (23/09/2006 16:04)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Во-первых вряд ли админы банили тор. Попытайтесь запустить с дебагом и уберите этот фашистский файерволл. благо им не рекомендуется пользоваться, а реколмендуется писать reject по ip и порту (это более гибкая опция чем фашистский файерволл). Старт тора зависит от состояния сети и даже при хорошем соединении может затянуться на минут 5 (у меня такое было). В норме он стартует за секунд 40 при отличном скоростном соединении. Так что для начала рекомендуется поставить заведомо нетронуьый умолчальный конфиг и _подождать_. Иначе нужно проверять по ping торы нода на доступность а потом на открытость портов. Честно говоря, я не знаю как проще всего проверить пропускаются ли исходящие соединения по тому или иному порту, но на этот вопрос вам многие смогут ответить. Если б у меня был внешний сервер, например, ssh-сервер, можно было бы поочерёдно поднять его на каждом порту и попробовать на него зайти изнутри, с вашего компьютера, перебирая разные порты. А ещё можно просто честно спросить у своих админов, режут ли они какие-либо исходящие соединения по каким-либо портам. Вот сейчас специально запустил тор, он у меня в данный момент запустился за 5 минтут (это при условии что у меня нормальный быстрый LAN):
$ Sep 23 15:54:17.728 [notice] Tor v0.1.1.23. This is experimental software. Do not rely on it for strong anonymity.
Sep 23 15:54:18.137 [notice] Initialized libevent version 1.1a using method kqueue. Good.
Sep 23 15:54:18.195 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Sep 23 15:55:39.213 [notice] We now have enough directory information to build circuits.
Sep 23 15:57:49.622 [notice] Our directory information is no longer up-to-date enough to build circuits.
Sep 23 15:57:49.728 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:57:57.761 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:03.549 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:07.542 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:11.377 [notice] I learned some more directory information, but not enough to build a circuit.
Sep 23 15:58:19.328 [notice] We now have enough directory information to build circuits.
Sep 23 15:59:19.988 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.

у вас в случае благоприятного исхода должно выводиться что-то похожее. Особенно последняя фраза (при запуске как tor --Log notice).
— Боб (25/09/2006 15:39)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
spinore, Еще раз спасибо за отзыв. К сожалению, ничего из вышеперчисленного не помогло. Sep 25 13:15:02.359 [notice] We now have enough directory information to build circuits – эту надпись я уже вижу мин.40. :-) И всё.
Открытыте порты на прокси мне известны, админ эту информацию не сильно скрывает. Я кстати не смог найти описания параметров reject по Ip. Где это? В параметрах ExitPolicy? Если есть возможность, опишите это пожалуйста поподробнее. И еще – все-таки, что дает запуск к лючом debug? Я вижу, что он пишет not enough accepteable routers. Ну и что? Причины то почему их недостаточно – я не понимаю, к сожалению. :-)
И КСТАТИ! Почему такая разница в этой фразе [notice] Initialized libevent version 1.1a+imweasel using method win32. Good.
У Вас kqueue, а у меня imweasel using method win32. :-) Интересно... :-)
— SATtva (25/09/2006 18:13)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Боб, удалите кэш директорий из c:\documents and setting\[user]\application data or (файл cached-routers и каталог cached status). Иногда после обновления Tor'а сталкивался с буксующим пуском в точности, как описывали Вы.

А разница сообщений при Вашем пуске и у spinore в разных ОС.
— Боб (28/09/2006 17:45)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
SATtva, спасибо за совет. К сожалению, тоже не помогает. :-) Застывает на строчке "not enough information". Такое ощущение, что он не может пробить прокси и выйти в и-нет. Администратор в своё время говорил, что сможет закрыть вообще всё тунеллирование, правда, не говорил, как. Но судя по всему, у него это получилось, так как до недавнего времени всё отлично функционировало. Причем дело уже просто в принципе, :-) хочется достучаться до правды.:-)
Вы не знаете ответа на мой вопрос в предыдущем сообщении, по поводу параметров reject по IP?

Про разницу сообщений при запуске, сообразил уже тогда, когда напечатал вопрос и отправил сообщение. :-)
Вы подтвердили мои догадки. :-) :D
— spinore (29/09/2006 23:20)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
По поводу опции:
ReachableAddresses ADDR[/MASK][:PORT]...
A comma-separated list of IP addresses and ports that your fire-
wall allows you to connect to. The format is as for the
addresses in ExitPolicy, except that "accept" is understood
unless "reject" is explicitly provided. For example, 'Reach-
ableAddresses 99.0.0.0/8, reject 18.0.0.0/8:80, accept *:80'
means that your firewall allows connections to everything inside
net 99, rejects port 80 connections to net 18, and accepts con-
nections to port 80 otherwise. (Default: 'accept *:*'.)

©

В частности, политика может выглядеть так, например:
ReachableAddresses *:22, accept *:80, accept *:443, accept *:5222, accept *:5223, reject *:*

[Это значит, открыты порты стандартные порты ssh, http, https, jabber, jabber+ssl], и все остальные считаются недостижимыми для коннекта к тор. Но это ограничивает множество серверов с которых можно обновлять информацию о состоянии тора, что делается автоматически после его старта. Я к тому, что включать данную опцию следует только тогда, когда уже твёрдо известно о том, что порты запрещены.

Я не знаю что думать в вашем конкретном случае... По ssh-то он вас пускает? Это тоже ведь туннелирование :) Между прочем, ssh не обязан быть поднят на 22-ом порту. И забанить ssh на самом деле означает уметь распознавать сетевой протокол, что не так просто. В случае тора всё проще: в правилах файерволла можно запретить соединения с торовскими нодами при условии что они идут на определённых портах. Ну что ж, возможно вас забанили. Предлагаю решение, которое будет работать на любом юниксе – программу proxychains. Она умеет формировать цепочки из прокси, что вам и понадобится для теста. Для винды тоже аналоги такой программы есть но я не запоминал как они называются. Ставите директивную политику в конфиге такой программы: 1-я прокся – обычная, сокс, заведомо рабочая, 2-я прокся – тор. Кстати, что касается именно proxychains, то её новейшая версия умеет даже dns-резловинг делать через связку проксей с которыми работает. После этого можно будет точно подвести итоги. Только вначале проверьте свою сокс-прокси отдельно на предмет работоспособности :) Надеюсь, ваш админ не дошёл до уровня рапознавания сетевого
протокола а только ограничился айпиадресами и портами. Если же нет – не отчаивайтесь, против любой защиты есть обход и наоборот. Будем биться пока победим! :)

Итак, если у вас в цепочке проксей тор благополучно заработает, значит дело в админе – он закрыл соответствующие джефолтные корневые торы нода с их портами. Если же нет, то либо ведётся распознающий анализ протокола (что маловероятно), либо проблема лично с вами. Моё мнение – у вас нездоровая версия тор какая-то что ли. Попробуйте его переустановить, и взять новую версию.
— spinore (29/09/2006 23:27)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Кстати, ради общей информации: правила продвинутых файервололлов типа OpenBSD Packet Filter широко известный в народе как PF, равно как и Linux'овский iptables, может фильтровать траффик в зависимости от фингерпринта сетевого стека ОС, которая лезет в сеть. Например, можно забанить все исходящие соеднения из локалки, пользователи которых сидят на винде :) Я для себя такую опцию прописал: чтоб ко мне можно было залезить по ssh только с одного компа, только с определённого порта, только с Linux 2.4 и только с аутентификацией по ключу. А иначе – я даже пинговаться не буду :) В то же время я всех вижу и с любым могу инициировать соединение. Так что файер – штука очень забавная и интересная :)
— spinore (29/09/2006 23:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Боб, опция --Log говорит о степени информативности, каковую пользователь хочет получать от tor. Соответственно, debug – это самая подробная информация о том что происходит в tor – это степень инфолрмативности нужная для отладки программы. Обычно когда всё нормально, хватает notice – просто некие краткие замечания. Можно выбрать err – чтоб выводились только ошибки. И т.д. А можно наверное и вообще чтоб ничего не писалось. Всё зависит от того что вы хотите.
— Гость (04/10/2006 11:50)   <#>
spinore, Во-первых, большое спасибо за Ваши отклики. В общем, максимум того, что можно сделать, я сделал. Но мои возможности крайне ограничены, так как я нахожусь в корпоративной сетке, и соответственно, мои возможности по инсталляции софта сильно ограничены. Ставятся лишь те программы, которые не требуют административных прав. Но я абсолютно точно знаю и даже краем глаза видел, что у админа стоит некая софтина, в которой прописано очень много приложений. Так вот, помимо HTTPporta и прочих приложений, таких как ICQ, Aim, там есть сторчка TOR! Как я уже понял, это набор правил для тех приложений, которым запрещен доступ в Сеть. При появлении подобной программы, данный файрволл (я не знаю как это еще назвать), фиксирует наличие и исходящий поток запрещенной программы и тут же резко снижает скорость, а затем полностью блокирует доступ в Интернет. Это не мои бредни :-), а реальное положение дел. Это не то распознавание протокола, о ктором Вы упоминали? Поэтому я в своё время и спрашивал, видно ли, что именно Tor выходит в сеть. Во всяком случае, с недавнего времени доступ блокирован на сайт Privoxy (но не тора!) и невозможно даже в яндексе в строке поиска набрать слово "proxy", так как доступ на страницу с результатами поиска оказывается тоже заблокирован. :-)
Версия TOR у меня самая свежая, и все замечательно работало даже с USB флэшки. На самом деле, уже появился спортивный интерес, как это можно победить. :-) Администратор находится в более выигрышном положении, чем я. Кстати, а где посмотреть адреса нод? Если я смогу к ней (ноде) обратиться, значит ли это, что не все потеряно? :-)
— SATtva (04/10/2006 13:35)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Идентифицировать протокол Tor'a в трафике крайне сложно, поскольку весь трафик с самого начала идёт, зашифрованный TLS. Действительно, можно его определить тем образом, что первое соединение всегда производится с IP директорий, или корневых узлов, сети (moria, скажем), чтобы скачать список всех узлов. Соответственно, если некое приложение из локальной сети пытается соединиться с этими IP (а список их небольшой и заранее известный), то эта программа нелегитимна.

В общем, это похоже на положение дел в Китае. Для таких случаев разработчики предлагают получать список узлов несетевым способом, устанавливать на ПК и уже после этого подключаться к Tor'у — он сможет сразу установить связи.

В общем, и это не гарантия, поскольку Ваш админ может парсить тот же список всех Tor-узлов и блокировать связь со всеми заданными в нём IP. Как обойти такую блокировку без использования внешнего прокси по защищённому каналу я не представляю.
— spinore (05/10/2006 12:12)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
В общем, SATtva уже ответил, добавлю от себя, что если вы не обладаете административными полномочиями на своём компьютере то "дело дрянь". Вас можно следить не по траффику а непосредственно отслеживать вас как пользователя в системе. Я бы вообще не рискнул что-то такое делать находясь на "чужом" компе. Начиная с того, что ваш админ может фиксировать все нажатия клавиш которые вы производите на клавиатуре. Соответственно, если вы не можете устанавливать разные программы... то и прокси между вами и тором вы можете не смочь поставить. Судя по тому что "вы видели список", могу скзаать что ваш админ не большого ума, сидит на оффтопике и использует софт для идиотов. А значит, можно в самой модели его защиты найти уязвимости. Но это уже другой будет вопрос, и ответить на него как это сделать не обладая массой априорной информации нельзя.

К солову о "профессионализме админов" могу рассказать свои случаи из жизни:

1. Админы удосужились банить внутренний NAT по ttl. Причём забанили весь траффик с ttl=127. Когда мы решили проблему я очень долго смеялся.

2. При простановке чужого мака сервер отвечал у нас, что правильный мак – такой-то. (Дибилизм, но это правда). А потому когда я сменил себе сетевую, не записав старый мак я польщзуясь подсказкой без перегистрации снова сделал себе сеть. А вообще, таким способом можно было бы чужой траффик воровать в принципе.

P. S: у нас были далеко на самые глупые админы...
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3