Есть ли смысл поднимать сервер на ноутбуке?
По ряду причин мой основной компьютер – ноутбук, соответственно дома у меня большого PC нет.
Есть ли смысл поднимать сервер на ноутбуке? Тем более что вряд ли можно позволить себе на нем большом аптайм, ибо места для его внутренностей мало, соответственно есть риск выхода из строя из-за нагрева.
Ссылки
[link1] http://www.pgpru.com/comment5384
[link2] http://www.oszone.net/4755/Zalman_ZM-NC1000
[link3] http://www.oszone.net/3714/
[link4] http://www.chinavasion.com/product_info.php/pName/mini-notebook-cooler-clip-on-air-extracting-fan/
[link5] http://img689.imageshack.us/img689/9144/vinst.jpg
[link6] https://wiki.torproject.org/noreply/TheOnionRouter/TransparentProxy
[link7] http://www.pgpru.com/comment36073
[link8] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjsetjtor
Какой сервер, ssh-server? Tor-ноду? Http-сервер? OpenVPN-сервер?
Прошу прощение, я имел ввиду Tor-ноду, тока обратил внимание, что этого я как раз и не написал :)
Ступил что-то.
SATtva (2005)[link1]. Включение нод только в какое-то время суток – нормальное явление, сейчас может быть даже можно явно указать в статистике когда нода предполагается быть активной. Так что с аптаймом бояться вам скорее нечего.
Другое дело – пропускные сполсобности. У самого подобный вопрос возникал. Из общения с теми, кто сам держит Tor-ноды было выяснено следующее:
PS: на правах имхо.
Всё-таки желательно, чтобы продолжительность онлайн-сессий была хотя бы от 3-4 часов и выше, иначе клиенты толком не успеют нагрузить узел.
SATtva, обычно ноут у меня работает по 10 – 12 часов подряд, просто я его выключаю на ночь и когда куда-то ухожу. Постоянно держать его включенным я не рискую, чтобы сильно не перегревался.
у меня эксит-нода работала – забивала весь канал 10мбит/с и на прием и на отдачу.так что разумно ставить чуть меньше в политиках соединений чем ваша реальная скорость доступа. использовал ноутбук, правда для охлаждения ноута было сварганено самодельное охлаждение, к слову обошедшееся в 300 руб, но очень эффективное. ноут работал неделями без отключения.
Гость (26/01/2010 19:41, а нельзя выложить описание схемы или хотя бы идею такого охлаждения?
было закуплено 2 кулера, 1блок питания 12 v и скреплено в единую конструкцию "советским детским конструктором" получилось этакая футуристическая подставочка. отличие от заводских – я сам выбирал точки охлаждения – винчестер давольно сильно грелся – что то до 50 цельсия а с охлаждением – 27 цельсия. и материнка. а так можно купить – именно оттуда я и скопировал модель. пример 1[link2]2[link3]но увидев сумму что то около 2х килорублей я принял решение сделать сам. впрочем посмотрите, может они подешивели.ссылки приведены исключительно для ознакомления
Вот есть за $10[link4], с питанием от USB.
интересный экземпляр, у меня такого же вида ноут- интересно как он работает? Как написано вытягивает- это все понятно.нужно полюбому тестить а как винчестер таким охлаждать? У меня винчестер вот тут[link5]расположен. совершенно понятно что данный девайс врядли его охладит.
Хм. у меня ноут доходит по аптайму порой до недели :). А вот вырубаю я его только когда беру с собой. Стоит и мне канал загрузить нодой.
Думаю попробовать поднять сервер, но не экзит, а промежуточную ноду (все-таки живу в России, мало ли что...). И видимо поднять бридж (это, как я понимаю, безопасно, т.к. если кто-то что-то "натворит", но будут видеть ip-экзита, а не бриджа).
Хотелось бы выяснить такие моменты:
1. Как изолировать работу tor-сервера от воздействия на файлы и процессы, принадлежащие юзерам, через которых я работаю в системе? (В принципе, у меня debian, процессы сервера будут запущены от имени debian-tor, без возможности смены пользователя?).
2. В этой части конфига
мне надо раскомментировать как минимум ORPort 9001?
3. У меня не "белый" внешний ip, я получаю его через dhcp провайдера.
Соответственно, что мне писать в этой части конфига?
4. В чем разница между значениями RelayBandwidthRate и RelayBandwidthBurst? Последнее – это "пиковое", предельное значение, чтоли?
5. Вот этот раздел для чего нужен?
6. Соответственно, чтобы не быть экзитом, я так понимаю надо раскомментировать эту строчку ExitPolicy reject *:* # no exits allowed?
7. Если я становлюсь бриджем, мне надо куда-то сбрасывать информацию о себе по e-mail, или программа сама пошлет им инфу обо мне?
8. #ExitPolicy reject *:* в настройках бриджа, что означает?
9. Соответственно, я должен буду поменять значение /proc/sys/net/ipv4/ip_forward на 1 и установить правила для таблицы FORWARD в iptables? Никто не покажет набор правил, которые позволяли делать форвардинг для целей обеспечения сети тор, по-возможности отрезая все остальное?
10. Соответственно, у меня есть роутер под dd-wrt v24-sp2, ядро 2.4.37. В репозиториях для него имеется tor.
Может быть, лучше поднять сервер непосредственно на нем?
Тем более, что он у меня включен почти всегда.
Единственно, что у него слабенький процессор:
И плохо с памятью:
Справиться ли он с функцией сервера?
P. S. Клиента на нем я пока тоже не поднимал, т.к. не знаю, как правильно настроить, чтобы можно было ходить в Сеть и через Tor, и не через Tor, с компьютеров, включенных в LAN. Подозреваю, что, наверное, никак.
Безопасно и просто промежуточная нода, а не только бридж.
Промежуточная нода будет висеть в списке узлов и навечно сохраняться в статистике айпишников когда-либо участвовавших в сети Tor с указанием точного времени.
Для запуска такого промежуточного узла достаточно использовать exit-policy reject *.* и всё.
Для бриджа — ваш адрес по крайней мере в публичную статистику не попадает, но его будут выдавать по запросам отдельных пользователей.
Сервер всегда работает и в режиме клиента тоже. Так что с этой машины дополнительного Tor-клиента запускать вроде не нужно. Самый простой способ ходить через Tor и не через Tor на этой машине — щёлкать мышкой по кнопке Torbutton. Или завести двух разных пользователей, одного "торифицированного", другого — нет. Что значит, "с компьютеров, включенных в LAN"? Вы NAT для внутриквартирной сетки делаете? Раздаёте инет по вайфаю?
Ничего не трогайте, всё уже изолированно как надо.
Да
Там написано — оставьте закомментированным и Tor угадает ваш ip сам.
Примерно так. В офиц, FAQ написано как их посчитать исходя из скорости вашего соединения.
Раскомментируйте 9030, чтобы зеркалить для других статистику корневых директорий, остальное вам скорее всего не надо (раз спрашиваете).
Да
про бриджи не знаю
Что вы хотите конкретно сделать? По умолчанию вообще ничего настраивать не нужно.
Многие рутеры справляются плохо и виснут на большом числе соединений. Пробуйте.
Но это реальный айпишник? Если реальный, но не статический (динамический), я не уверен, что такая конфигурация хорошо подружится с Tor-статистикой.
Если он потянет, это было бы предпочтительнее...
См. Anonymizing Box здесь[link6]. Базовые правила для iptables там есть, но без понимания того как работает iptables я бы не лез в такие дебри; может быть сначала разберётесь с базовыми понятиями? Всё-таки это достаточно продвинутые настройки, требующие знаний на уровне уверенного администратора Linux, да и iptables понять посложнее PF будет.
Это прекрасно всё настраивается если есть мозг и руки. Допустим, что за роутером есть два ноутбука: один используется для работы через Tor, а другой – напрямую. Также допустим, что сервер Tor уже запущен на рутере и работает. Первое, что вам надо сделать – выбрать тип соединения (лучше защищённого) от своих ноутбуков до рутера. В простейшем (и самом небезопасном) случае вы делаете для них обоих доступ в сеть через NAT, где рутер – их gateway. В более сложной конфигурации: самое простое – ssh-туннель (см. опцию -w в конфиге и пример настройки тут[link7], посложнее, но с меньшим оверхедом – настроить OpenVPN-туннель (понадобится настраивать и сервер и клиент, естественно, сервер – на рутере, клиент – на ноутбуках), ещё сложнее и с ещё меньшим оверхедом – поднять ipsec. Мягко говоря, в общем-то, это сложные вещи, особенно если их делать на уровне тупо "ткнуть сюда" или "выоплнить то-то" совершенно не понимая смысла производимых действий. Когда соединение ноутов с gateway'ем поднято, остаётся только настроить iptables так, чтобы трафик от ноута с Tor-клиентом шёл в Tor, а от другого ноута – напрямую (разнные правила фильтрации и форвардинга в зависимости от IP и интерфейса).
Как мне кажется, здесь допустимо одно из двух: либо бридж, либо миддлман, ибо IP для этих сервисов один, и IP бриджа в статистике не должен присутствовать вообще.
Если провайдер не меняет его слишком часто, то нормально.
Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?
У меня значение форвардинга выствавлено в 0 (собственно, это умолчальное значение в дебиане, а в iptables я "перестраховался" установив в указанной цепочке политику DROP.
Это не помешает работе tor-сервера?
2.
Меняет раз в сутки. Плюс раз в сутки у меня роутер перезагружается автоматически.
3.
Да. У меня дома за рутером мой ноут, еще один ноут и еще периодически КПК подключаются.
P. S. А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?
P. P. S. Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть. С бриджем в этом не будет необходимости, если не подозревать владельцев сети Tor в том, что они тебя отслеживают.
Вроде всё так
Ничего не понял.
Нет, а зачем? Даже для прозрачной торификации не нужно, если это вы этим вопросом мучаетесь в соседней ветке. Оставьте как есть, работе сервера это не помешает.
Значит сервер будет вываливаться из статистики Tor-сети и заново медленно разгоняться несколько часов до полной загрузки канала. Если вам известно точное время, когда провайдер это делает, то поставьте перезагрузку роутера на это же время, а в кронтабе пропишите за несколько минут до этого /etc/init.d/tor stop (скрипт остановки и через несколько минут после: /etc/init.d/tor start,
чтобы трафик пользователей, проходящий через ваш узел не дропался внезапно, а у них была минута на перестройку цепочек и чтобы ваш узел плавно выводился из статистики и заново в неё попадал быстрее.
Ну надо придумывать, как всё лучше настроить.
Операторы бриджей жалуются в рассылке, что через них неделями не идёт вообще никакого трафика.
Запуская свой промежуточный узел вы строго говоря получаете сильную защиту от сайта, который пытается вычислить ваш IP, т.к. он не сможет отследить, даже если до вас доберется — пришёл к нему запрос с вашей машины или через вашу.
Но от изощрённого противника со стороны прова это слабое увеличение анонимности — можно статистически отфильтровать ваши запросы от проходящих через вас. Правда это требует активного прицельного мониторинга. Обычные системы ведения логов быстрее подавятся вашим трафиком с тысячами соединений, так что в общем ваша анонимность увеличивается.
Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.
Ещё разработчики рекомендуют — если у вас на машине не запущено вэб-серверов (не заняты порты 80 и 443), то рекомендуется повесить tor-узел на них:
Ноутбук иногда используется не дома, а в публичных wifi-сетях. Когда он работает как tor-сервер, его ip сохраняются и выкладываются на сайтах торпроекта (с именем). Получается, что оставлять включенным тор-сервер во время нахождения в публичных вайфай-сетях – в случае, если враг доберется до твоего ip-адреса в этих сетях, разрушает твою анонимность.
Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе.
Про проблемы перемещения сервера-узла сведений от разработчиков нет, насколько там ситуация становится лучше или хуже.
Но по крайней мере в публичных wifi-сетях действительно будут знать ваш домашний ip-адрес и знать, что владелец сервера — это вы и следить за вашим перемещением по этим сетям, если вас беспокоит снижение анонимности с этой точки зрения.
В публичных сетях вообще-то сервер не очень можно погонять по соображениям скорости и там вы наверное за NATом будете и никто вам порты не пробросит и кучу соединений не даст открыть — может быть масса ограничений.
А если эти кэши руками стирать? В каком файле, кстати, они храняться?
Не слишком хорошо для анонимности — собственно, guard-узлы были введены, чтобы entry-нода каждый раз не менялась.
Что-то вроде /var/lib/tor/data/state
О, нашел, благодарю, у меня это просто /var/lib/tor/state.
SATtva, а что если на время работы в открытых wifi-сетях очищтать этот файл руками, а когда приходишь домой восстанавливать? А если работаешь на ноуте дома, в офисе (или нескольких офисах) и публичных wifi-сетях, иметь несколько вариантов этого файла для стационарных мест работы, и пустой – для публичных сетей?
P. S. Не подскажите, что храниться в остальных файлах:
Кэш-сертс, понятное дело, сертификаты, дескрипторс – это список нод, с которыми коннектишься чтоли? А кэшд-консенсус?
Результат голосования корневых директорий между собой по поводу статистики сети.
Вопрос о guard-узлах и что с ними (не надо) делать внесён в черновик кандидатов в FAQ[link8].
Если рутер для кого-то делает NAT (хотя бы для пользователя, который ходит в сеть без Tor), то вроде как надо(?).
А он про рутер или про свой ноут с сервером спрашивал?
У него ноут NAT вроде не делает, всё подключается через рутер, который всем в домашнем хозяйстве (или где-там) уже сделал NAT.
Да он во всех ветках параллельно пишет, по ходу, причём вещи слишком близкие, так что трудно разобраться. Лучше бы создал одну отдельную ветку типа "помогите настроить вот таку-то конфигурацию" и всё.
Включил правила для тор-севера в iptables:
Сервер работает только когда они включаются в самом верху, до правила
(Все политики у меня выставлены в DROP)
Если разместить его после этого правила, сервер не запускается, в логе пишется что порты 9001 и 9030 недостижимы.
Как это правило мешает соединению с сервером тора?
И еще, верх моего конфига iptables таков:
Какие-то из них можно ли или может быть следовало бы поднять выше правил, разрешающих соединения с тор-сервером, так, чтобы это не помешало его работоспособности? В частности, запрещающие syn-наводнения, пакеты-инвалиды и т.п.?!
Еще вопрос возник вопрос, что за ругань в логе?
(последняя строчка)
P. S. В tcpdump вижу, как мой сервер коннектиться с другими с порта .9001, это уже радует!!!
Это правило у вас устанаваливает наказание для пакетов за отрицание локалхоста :)
На самом деле loopback, а не локалхост.
Все входящие пакеты, которые пытаются установить новое соединение (а не инициированное клиентами с вашей машины) с устройствами отличными от loopback (например eth0) — дропаются.
С этого места по умолчанию разрешено получать входящие соединения только клиентам — т.е. если ваша машина первой установила соединения.
Не хватает пропускной способности для раздачи статистики, возможно придётся отключить это в конфиге.
Большой спасибыч, так, с Вашей помощью, глядишь скоро разберусь в iptables!!!
Таким образом, все правила, открывающие порты для работы с серверами, должны быть прописаны до этих правил, как я понял?
Если не сложно, не могли бы просветить меня еще по двум вопросам:
а) Каким образом осуществляется форвардинг пакетов через tor-сервер, если в ядре отключен форвардинг в принципе?
Или ядреный форвардинг это ядреный форвардинг, а торсерверный – совершенно от него независим?
б) может несколько оффтоп конечно, при указанной конфигурации iptables у меня всегда закрыт порт на торрент клиенте. Несмотря на то, что я прописывал его открытие на рутере, и даже UPnP включал. Если без настроек iptables, установить, что все "accept", то все работает нормально, идет переадресация портов, и в рутере тоже видно что идет переадресация портов. (У меня домашняя сеть – за рутером по nat раздаются локальные ip типа 192.168.1.x).
Причем далее намного ниже в правилах iptables на ноуте открыты порты для торрент-клиента.
Это тоже потому что он работает и как клиент и как сервер? И правила для него нужно тоже тащить вверх, до правил, запрещающих установление соединений извне?
(Самый прикол, что в образце сего конфига именно так было предусмотрено).
Это из той же области проблема?
Если у меня скорость порядка 800 Кб/с, это же килобит?! (Как я понимаю, провы в скоростях указыают именно килобиты, а не килобайты).
Следовательно, я могу например для tor-сервера выделить половину канала? Т.е. порядка 50 – 60 КБ/c?! (Я из соображений оных поставил себе 40 КБ/c).
И зачем разрабы тора такую путаницу устроили, провы в тарифах указывают в кило(мега, гига) битах, а они – в килобайтах?!...
а я обратно запутаюсь с Вашей:)
во всём рунете никто не смог помочь с ответом по iptables?
вы локально отправляете пакеты, а не на другой хост. Есть особенности,
Вам всё равно придётся всё самому проверить, настроить и свериться с маном по iptables. Иногда это нелегко и становится утомительным, я вас понимаю.
А мне надо для этого перещёлкивать страницу топика обратно и ещё раз смотреть в ваш конфиг, хотя даже (ещё?) один пользователь, настроивший iptables для Tor'a по готовой инструкции с последующими подсказками меня абстрактно радует :)
Могу предположить, что им удобнее так считать было пропускную способность сети.
а почему тогда те правила iptables блокируют эти пакеты?
Какие те, какие эти?
Вы про пример из FAQ?После того как пакеты tornet_user завёрнуты в Tor их владелец меняется, они становятся пакетами юзера debian-tor, которому разрешено беспрепятственно выпускать в сеть все пакеты. Вот поэтому Tor продолжает работать (в непринудительном порядке, если использовать обычные средства: torbutton, privoxy) и для остальных (незаторенных) пользователей.В тоже время всем пакетам tornet_user не разрешено выходить в сеть, поэтому если их не удалось завернуться в Tor, то они перенаправляются на localhost где и исчезают (поскольку отдпропать их в цепочке NAT теперь нельзя).Стоп! Путаница с пониманием вопросов и поэтому вычеркнутое — ответ не в ту тему. Сервер вообще может перенаправлять пакеты на любые порты как ему вздумается, к форвардингу пакетов ядром это отношения не имеет.
на сколько помню, топикстартер тему замутил по поводу охлаждения внутреннего железа ноутбука. так как с ним? Помогли советы ?
В принципе, сама по себе работа сервера не слишком греет ноут, очень сильно греет когда качаешь много торрентов, компилишь едро, запускаешь много виртмашин и т.п.
Особенно когда ноут стоит на деревянном столе.
Я купил за 700 рублей алюминивую дырявую подставку под ноут с двумя кулерами.
Кулера не очень мощные, но снижают температуру градусов на 5 – 8, и сама подставка также снижает (от стола не греется).
В результате, при запущенной закачке кучи торрентов, открытых нескольких вирт. дисплеях, запущенных от разных пользователей браузеров и почт. клиентов, а самое главное – запущенных 4-х гостевых ОС, ноут нагрелся до 55-60 С максимум (процессор), хард – до 45 – 57.
Если бы я это выделал когда он стоял на столе, процессор бы нагрелся до 90 С и хард – до 50 – 52.
Да, проц до 90 это ужас! У меня сердце кровью обливается когда видео конверчу – 65 -69 С! А с подставочкой, охлаждающей хард выше 36 С никогда не поднимается – даже при том когда интенсивно юзаеться – запись/чтение. А если один сервер работает – у меня проц где то 47-49 С. то есть практически холодный, при том что траф вход/исход 10мбит/с
Температура проца в обычном PC – не то же самое, что в ноуте. Там стоят разные процессоры, у которых разные температурные рабочие режимы. То, что для обычного PC смерть и перезагрузка из-за перегрева – для ноутового проца – обычный режим. Например, в некоторых core2duo максимум рабочих температур – 100. Чтобы охладить проц при нагрузках часто достаточно под ноут положить железную тарелку.