— Гость (25/01/2010 01:56)   
Какой сервер, ssh-server? Tor-ноду? Http-сервер? OpenVPN-сервер?

— Гость (25/01/2010 03:41)   
Прошу прощение, я имел ввиду Tor-ноду, тока обратил внимание, что этого я как раз и не написал :)
Ступил что-то.

— Гость (25/01/2010 22:54)   

вряд ли можно позволить себе на нем большом аптайм, ибо места для его внутренностей мало, соответственно есть риск выхода из строя из-за нагрева.

Всего порядка четырёх сотен, но сейчас с ростом популярности TOR'а стало много трансиентных, появляющихся на короткое время. Ядро состоит из примерно трёхсот, из которых совсем немного замыкающих узлов (exit nodes). На самом деле это совсем не мало для распределённой анонимизирующей сети.

SATtva (2005)^[link1]. Включение нод только в какое-то время суток – нормальное явление, сейчас может быть даже можно явно указать в статистике когда нода предполагается быть активной. Так что с аптаймом бояться вам скорее нечего.

Другое дело – пропускные сполсобности. У самого подобный вопрос возникал. Из общения с теми, кто сам держит Tor-ноды было выяснено следующее:

1. Даже при скорости 64Kb/sec имеет смысл ставить ноду (при меньшей, видимо, смысла нет).
2. В конфиге ставится 2 скорости: максимальная и минимальная. По факту сервер съедает трафик на средне-арифметической скорости между ними. Максимальная – это максимум скорости отдачи трафика, минимальная – та, что публикуется в статистике сети.
3. Дома для плохого канала рекомендуется выставлять эти скорости в 64/96, а для хорошего – в 96/128.
4. При средней скорости в 64Kb/sec сервер съест в месяц 162Гб, что примелемо только для тех, у кого не только реальный IP, но ещё и анлим.

PS: на правах имхо.

— SATtva (25/01/2010 23:00)   

Так что с аптаймом бояться вам скорее нечего.

Всё-таки желательно, чтобы продолжительность онлайн-сессий была хотя бы от 3-4 часов и выше, иначе клиенты толком не успеют нагрузить узел.

— Гость (26/01/2010 15:04)   
SATtva, обычно ноут у меня работает по 10 – 12 часов подряд, просто я его выключаю на ночь и когда куда-то ухожу. Постоянно держать его включенным я не рискую, чтобы сильно не перегревался.

— Гость (26/01/2010 19:41)   
у меня эксит-нода работала – забивала весь канал 10мбит/с и на прием и на отдачу.так что разумно ставить чуть меньше в политиках соединений чем ваша реальная скорость доступа. использовал ноутбук, правда для охлаждения ноута было сварганено самодельное охлаждение, к слову обошедшееся в 300 руб, но очень эффективное. ноут работал неделями без отключения.

— Гость (26/01/2010 20:55)   
Гость (26/01/2010 19:41, а нельзя выложить описание схемы или хотя бы идею такого охлаждения?

— Гость (26/01/2010 22:08)   
было закуплено 2 кулера, 1блок питания 12 v и скреплено в единую конструкцию "советским детским конструктором" получилось этакая футуристическая подставочка. отличие от заводских – я сам выбирал точки охлаждения – винчестер давольно сильно грелся – что то до 50 цельсия а с охлаждением – 27 цельсия. и материнка. а так можно купить – именно оттуда я и скопировал модель. пример 1^[link2]2^[link3]но увидев сумму что то около 2х килорублей я принял решение сделать сам. впрочем посмотрите, может они подешивели.ссылки приведены исключительно для ознакомления

— Гость (27/01/2010 02:34)   
Вот есть за $10^[link4], с питанием от USB.

— Гость (27/01/2010 02:44)   
интересный экземпляр, у меня такого же вида ноут- интересно как он работает? Как написано вытягивает- это все понятно.нужно полюбому тестить а как винчестер таким охлаждать? У меня винчестер вот тут^[link5]расположен. совершенно понятно что данный девайс врядли его охладит.

— Гость (27/01/2010 08:29)   
Хм. у меня ноут доходит по аптайму порой до недели :). А вот вырубаю я его только когда беру с собой. Стоит и мне канал загрузить нодой.

— Гость (02/02/2010 14:38)   
Думаю попробовать поднять сервер, но не экзит, а промежуточную ноду (все-таки живу в России, мало ли что...). И видимо поднять бридж (это, как я понимаю, безопасно, т.к. если кто-то что-то "натворит", но будут видеть ip-экзита, а не бриджа).
Хотелось бы выяснить такие моменты:
1. Как изолировать работу tor-сервера от воздействия на файлы и процессы, принадлежащие юзерам, через которых я работаю в системе? (В принципе, у меня debian, процессы сервера будут запущены от имени debian-tor, без возможности смены пользователя?).
2. В этой части конфига ## Required: what port to advertise for incoming Tor connections. #ORPort 9001 ## If you want to listen on a port other than the one advertised ## in ORPort (e.g. to advertise 443 but bind to 9090), uncomment the ## line below too. You'll need to do ipchains or other port forwarding ## yourself to make this work. #ORListenAddress 0.0.0.0:9090
мне надо раскомментировать как минимум ORPort 9001?
3. У меня не "белый" внешний ip, я получаю его через dhcp провайдера.
Соответственно, что мне писать в этой части конфига?
## The IP address or full DNS name for your relay. Leave commented out ## and Tor will guess. #Address noname.example.com
4. В чем разница между значениями RelayBandwidthRate и RelayBandwidthBurst? Последнее – это "пиковое", предельное значение, чтоли?
5. Вот этот раздел ## Uncomment this to mirror directory information for others. Please do ## if you have enough bandwidth. #DirPort 9030 # what port to advertise for directory connections ## If you want to listen on a port other than the one advertised ## in DirPort (e.g. to advertise 80 but bind to 9091), uncomment the line ## below too. You'll need to do ipchains or other port forwarding yourself ## to make this work. #DirListenAddress 0.0.0.0:9091 ## Uncomment to return an arbitrary blob of html on your DirPort. Now you ## can explain what Tor is if anybody wonders why your IP address is ## contacting them. See contrib/tor-exit-notice.html for a sample. #DirPortFrontPage /etc/tor/exit-notice.html для чего нужен?
6. Соответственно, чтобы не быть экзитом, я так понимаю надо раскомментировать эту строчку ExitPolicy reject *:* # no exits allowed?
7. Если я становлюсь бриджем, мне надо куда-то сбрасывать информацию о себе по e-mail, или программа сама пошлет им инфу обо мне?
8. #ExitPolicy reject *:* в настройках бриджа, что означает?
9. Соответственно, я должен буду поменять значение /proc/sys/net/ipv4/ip_forward на 1 и установить правила для таблицы FORWARD в iptables? Никто не покажет набор правил, которые позволяли делать форвардинг для целей обеспечения сети тор, по-возможности отрезая все остальное?
10. Соответственно, у меня есть роутер под dd-wrt v24-sp2, ядро 2.4.37. В репозиториях для него имеется tor.
Может быть, лучше поднять сервер непосредственно на нем?
Тем более, что он у меня включен почти всегда.
Единственно, что у него слабенький процессор:
cat /proc/cpuinfo system type : Broadcom BCM5354 chip rev 3 processor : 0 cpu model : BCM3302 V2.9 BogoMIPS : 199.88
И плохо с памятью:
~# cat /proc/meminfo total: used: free: shared: buffers: cached: Mem: 13316096 11034624 2281472 0 700416 3379200 Swap: 0 0 0 MemTotal: 13004 kB MemFree: 2228 kB

Справиться ли он с функцией сервера?
P. S. Клиента на нем я пока тоже не поднимал, т.к. не знаю, как правильно настроить, чтобы можно было ходить в Сеть и через Tor, и не через Tor, с компьютеров, включенных в LAN. Подозреваю, что, наверное, никак.

— unknown (02/02/2010 15:24)   

промежуточную ноду (все-таки живу в России, мало ли что...). И видимо поднять бридж (это, как я понимаю, безопасно, т.к. если кто-то что-то "натворит", но будут видеть ip-экзита, а не бриджа).

Безопасно и просто промежуточная нода, а не только бридж.
Промежуточная нода будет висеть в списке узлов и навечно сохраняться в статистике айпишников когда-либо участвовавших в сети Tor с указанием точного времени.

Для запуска такого промежуточного узла достаточно использовать exit-policy reject *.* и всё.

Для бриджа — ваш адрес по крайней мере в публичную статистику не попадает, но его будут выдавать по запросам отдельных пользователей.

Клиента на нем я пока тоже не поднимал, т.к. не знаю, как правильно настроить, чтобы можно было ходить в Сеть и через Tor, и не через Tor, с компьютеров, включенных в LAN. Подозреваю, что, наверное, никак.

Сервер всегда работает и в режиме клиента тоже. Так что с этой машины дополнительного Tor-клиента запускать вроде не нужно. Самый простой способ ходить через Tor и не через Tor на этой машине — щёлкать мышкой по кнопке Torbutton. Или завести двух разных пользователей, одного "торифицированного", другого — нет. Что значит, "с компьютеров, включенных в LAN"? Вы NAT для внутриквартирной сетки делаете? Раздаёте инет по вайфаю?

Ничего не трогайте, всё уже изолированно как надо.
Да
Там написано — оставьте закомментированным и Tor угадает ваш ip сам.
Примерно так. В офиц, FAQ написано как их посчитать исходя из скорости вашего соединения.
Раскомментируйте 9030, чтобы зеркалить для других статистику корневых директорий, остальное вам скорее всего не надо (раз спрашиваете).
Да
про бриджи не знаю
Что вы хотите конкретно сделать? По умолчанию вообще ничего настраивать не нужно.
Многие рутеры справляются плохо и виснут на большом числе соединений. Пробуйте.

— Гость (02/02/2010 16:15)   

У меня не "белый" внешний ip, я получаю его через dhcp провайдера.

Но это реальный айпишник? Если реальный, но не статический (динамический), я не уверен, что такая конфигурация хорошо подружится с Tor-статистикой.

10. Соответственно, у меня есть роутер под dd-wrt v24-sp2, ядро 2.4.37. В репозиториях для него имеется tor. Может быть, лучше поднять сервер непосредственно на нем?

Если он потянет, это было бы предпочтительнее...

Никто не покажет набор правил, которые позволяли делать форвардинг для целей обеспечения сети тор, по-возможности отрезая все остальное?

См. Anonymizing Box здесь^[link6]. Базовые правила для iptables там есть, но без понимания того как работает iptables я бы не лез в такие дебри; может быть сначала разберётесь с базовыми понятиями? Всё-таки это достаточно продвинутые настройки, требующие знаний на уровне уверенного администратора Linux, да и iptables понять посложнее PF будет.

Клиента на нем я пока тоже не поднимал, т.к. не знаю, как правильно настроить, чтобы можно было ходить в Сеть и через Tor, и не через Tor, с компьютеров, включенных в LAN. Подозреваю, что, наверное, никак.

Это прекрасно всё настраивается если есть мозг и руки. Допустим, что за роутером есть два ноутбука: один используется для работы через Tor, а другой – напрямую. Также допустим, что сервер Tor уже запущен на рутере и работает. Первое, что вам надо сделать – выбрать тип соединения (лучше защищённого) от своих ноутбуков до рутера. В простейшем (и самом небезопасном) случае вы делаете для них обоих доступ в сеть через NAT, где рутер – их gateway. В более сложной конфигурации: самое простое – ssh-туннель (см. опцию -w в конфиге и пример настройки тут^[link7], посложнее, но с меньшим оверхедом – настроить OpenVPN-туннель (понадобится настраивать и сервер и клиент, естественно, сервер – на рутере, клиент – на ноутбуках), ещё сложнее и с ещё меньшим оверхедом – поднять ipsec. Мягко говоря, в общем-то, это сложные вещи, особенно если их делать на уровне тупо "ткнуть сюда" или "выоплнить то-то" совершенно не понимая смысла производимых действий. Когда соединение ноутов с gateway'ем поднято, остаётся только настроить iptables так, чтобы трафик от ноута с Tor-клиентом шёл в Tor, а от другого ноута – напрямую (разнные правила фильтрации и форвардинга в зависимости от IP и интерфейса).

Безопасно и просто промежуточная нода, а не только бридж.

Как мне кажется, здесь допустимо одно из двух: либо бридж, либо миддлман, ибо IP для этих сервисов один, и IP бриджа в статистике не должен присутствовать вообще.

— unknown (02/02/2010 16:38)   

Но это реальный айпишник? Если реальный, но не статический (динамический), я не уверен, что такая конфигурация хорошо подружится с Tor-статистикой.

Если провайдер не меняет его слишком часто, то нормально.

— Гость (02/02/2010 19:08)   

>9

Что вы хотите конкретно сделать? По умолчанию вообще ничего настраивать не нужно.

Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?
У меня значение форвардинга выствавлено в 0 (собственно, это умолчальное значение в дебиане, а в iptables я "перестраховался" установив в указанной цепочке политику DROP.
Это не помешает работе tor-сервера?
2.

Если провайдер не меняет его слишком часто, то нормально.

Меняет раз в сутки. Плюс раз в сутки у меня роутер перезагружается автоматически.
3.

Что значит, "с компьютеров, включенных в LAN"? Вы NAT для внутриквартирной сетки делаете? Раздаёте инет по вайфаю?

Да. У меня дома за рутером мой ноут, еще один ноут и еще периодически КПК подключаются.
P. S. А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?
P. P. S. Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть. С бриджем в этом не будет необходимости, если не подозревать владельцев сети Tor в том, что они тебя отслеживают.

— Гость (02/02/2010 19:29)   

Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны.

Вроде всё так

Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть.

Ничего не понял.

— unknown (02/02/2010 22:11)   

Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?

Нет, а зачем? Даже для прозрачной торификации не нужно, если это вы этим вопросом мучаетесь в соседней ветке. Оставьте как есть, работе сервера это не помешает.


Значит сервер будет вываливаться из статистики Tor-сети и заново медленно разгоняться несколько часов до полной загрузки канала. Если вам известно точное время, когда провайдер это делает, то поставьте перезагрузку роутера на это же время, а в кронтабе пропишите за несколько минут до этого /etc/init.d/tor stop (скрипт остановки и через несколько минут после: /etc/init.d/tor start,
чтобы трафик пользователей, проходящий через ваш узел не дропался внезапно, а у них была минута на перестройку цепочек и чтобы ваш узел плавно выводился из статистики и заново в неё попадал быстрее.

Ну надо придумывать, как всё лучше настроить.

А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?

Операторы бриджей жалуются в рассылке, что через них неделями не идёт вообще никакого трафика.

Запуская свой промежуточный узел вы строго говоря получаете сильную защиту от сайта, который пытается вычислить ваш IP, т.к. он не сможет отследить, даже если до вас доберется — пришёл к нему запрос с вашей машины или через вашу.

Но от изощрённого противника со стороны прова это слабое увеличение анонимности — можно статистически отфильтровать ваши запросы от проходящих через вас. Правда это требует активного прицельного мониторинга. Обычные системы ведения логов быстрее подавятся вашим трафиком с тысячами соединений, так что в общем ваша анонимность увеличивается.

Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.

Ещё разработчики рекомендуют — если у вас на машине не запущено вэб-серверов (не заняты порты 80 и 443), то рекомендуется повесить tor-узел на них:
#вместо ORPort 9001 ORPort 443 #вместо #DirPort 9030 DirPort 80

— Гость (02/02/2010 22:35)   

Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.

Ноутбук иногда используется не дома, а в публичных wifi-сетях. Когда он работает как tor-сервер, его ip сохраняются и выкладываются на сайтах торпроекта (с именем). Получается, что оставлять включенным тор-сервер во время нахождения в публичных вайфай-сетях – в случае, если враг доберется до твоего ip-адреса в этих сетях, разрушает твою анонимность.

— unknown (02/02/2010 23:01, исправлен 02/02/2010 23:05)   

Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе.

Про проблемы перемещения сервера-узла сведений от разработчиков нет, насколько там ситуация становится лучше или хуже.

Но по крайней мере в публичных wifi-сетях действительно будут знать ваш домашний ip-адрес и знать, что владелец сервера — это вы и следить за вашим перемещением по этим сетям, если вас беспокоит снижение анонимности с этой точки зрения.

В публичных сетях вообще-то сервер не очень можно погонять по соображениям скорости и там вы наверное за NATом будете и никто вам порты не пробросит и кучу соединений не даст открыть — может быть масса ограничений.

— Гость (02/02/2010 23:38)   

Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе

А если эти кэши руками стирать? В каком файле, кстати, они храняться?

— SATtva (03/02/2010 00:46)   

А если эти кэши руками стирать?

Не слишком хорошо для анонимности — собственно, guard-узлы были введены, чтобы entry-нода каждый раз не менялась.

В каком файле, кстати, они храняться?

Что-то вроде /var/lib/tor/data/state

— Гость (03/02/2010 07:51)   
О, нашел, благодарю, у меня это просто /var/lib/tor/state.
SATtva, а что если на время работы в открытых wifi-сетях очищтать этот файл руками, а когда приходишь домой восстанавливать? А если работаешь на ноуте дома, в офисе (или нескольких офисах) и публичных wifi-сетях, иметь несколько вариантов этого файла для стационарных мест работы, и пустой – для публичных сетей?
P. S. Не подскажите, что храниться в остальных файлах:
~$ sudo ls /var/lib/tor cached-certs cached-consensus cached-descriptors cached-descriptors.new lock state
Кэш-сертс, понятное дело, сертификаты, дескрипторс – это список нод, с которыми коннектишься чтоли? А кэшд-консенсус?

— unknown (03/02/2010 08:43)   

Результат голосования корневых директорий между собой по поводу статистики сети.

— unknown (03/02/2010 09:29, исправлен 03/02/2010 09:36)   

Вопрос о guard-узлах и что с ними (не надо) делать внесён в черновик кандидатов в FAQ^[link8].

— Гость (03/02/2010 11:37)   

с включением форвардинга на уровне ядра

Если рутер для кого-то делает NAT (хотя бы для пользователя, который ходит в сеть без Tor), то вроде как надо(?).

— unknown (03/02/2010 12:00)   
А он про рутер или про свой ноут с сервером спрашивал?

У него ноут NAT вроде не делает, всё подключается через рутер, который всем в домашнем хозяйстве (или где-там) уже сделал NAT.

— Гость (03/02/2010 12:05)   
Да он во всех ветках параллельно пишет, по ходу, причём вещи слишком близкие, так что трудно разобраться. Лучше бы создал одну отдельную ветку типа "помогите настроить вот таку-то конфигурацию" и всё.

— Гость (04/02/2010 21:32)   
Включил правила для тор-севера в iptables:
#Разрешаем tor-сервер $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9001 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9001 -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9030 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9030 -j ACCEPT
Сервер работает только когда они включаются в самом верху, до правила $IPT -A INPUT -m state ! -i lo --state NEW -j DROP
(Все политики у меня выставлены в DROP)
Если разместить его после этого правила, сервер не запускается, в логе пишется что порты 9001 и 9030 недостижимы.
Как это правило мешает соединению с сервером тора?

И еще, верх моего конфига iptables таков:
$IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9001 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9001 -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9030 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9030 -j ACCEPT $IPT -A INPUT -m state ! -i lo --state NEW -j DROP $IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

Какие-то из них можно ли или может быть следовало бы поднять выше правил, разрешающих соединения с тор-сервером, так, чтобы это не помешало его работоспособности? В частности, запрещающие syn-наводнения, пакеты-инвалиды и т.п.?!

— Гость (04/02/2010 21:51)   
Еще вопрос возник вопрос, что за ругань в логе?

Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor. Performing bandwidth self-test...done. Self-testing indicates your DirPort is reachable from the outside. Excellent. Not advertising DirPort (Reason: BandwidthRate under 50KB)
(последняя строчка)

P. S. В tcpdump вижу, как мой сервер коннектиться с другими с порта .9001, это уже радует!!!

— unknown (05/02/2010 10:39)   
$IPT -A INPUT -m state ! -i lo --state NEW -j DROP

Это правило у вас устанаваливает наказание для пакетов за отрицание локалхоста :)

На самом деле loopback, а не локалхост.

Все входящие пакеты, которые пытаются установить новое соединение (а не инициированное клиентами с вашей машины) с устройствами отличными от loopback (например eth0) — дропаются.

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
С этого места по умолчанию разрешено получать входящие соединения только клиентам — т.е. если ваша машина первой установила соединения.

Не хватает пропускной способности для раздачи статистики, возможно придётся отключить это в конфиге.

— Гость (05/02/2010 16:55)   

С этого места по умолчанию разрешено получать входящие соединения только клиентам — т.е. если ваша машина первой установила соединения.

Большой спасибыч, так, с Вашей помощью, глядишь скоро разберусь в iptables!!!
Таким образом, все правила, открывающие порты для работы с серверами, должны быть прописаны до этих правил, как я понял?
Если не сложно, не могли бы просветить меня еще по двум вопросам:
а) Каким образом осуществляется форвардинг пакетов через tor-сервер, если в ядре отключен форвардинг в принципе?
Или ядреный форвардинг это ядреный форвардинг, а торсерверный – совершенно от него независим?
б) может несколько оффтоп конечно, при указанной конфигурации iptables у меня всегда закрыт порт на торрент клиенте. Несмотря на то, что я прописывал его открытие на рутере, и даже UPnP включал. Если без настроек iptables, установить, что все "accept", то все работает нормально, идет переадресация портов, и в рутере тоже видно что идет переадресация портов. (У меня домашняя сеть – за рутером по nat раздаются локальные ip типа 192.168.1.x).
Причем далее намного ниже в правилах iptables на ноуте открыты порты для торрент-клиента.
Это тоже потому что он работает и как клиент и как сервер? И правила для него нужно тоже тащить вверх, до правил, запрещающих установление соединений извне?
(Самый прикол, что в образце сего конфига именно так было предусмотрено).
Это из той же области проблема?

Не хватает пропускной способности для раздачи статистики, возможно придётся отключить это в конфиге.

Если у меня скорость порядка 800 Кб/с, это же килобит?! (Как я понимаю, провы в скоростях указыают именно килобиты, а не килобайты).
Следовательно, я могу например для tor-сервера выделить половину канала? Т.е. порядка 50 – 60 КБ/c?! (Я из соображений оных поставил себе 40 КБ/c).
И зачем разрабы тора такую путаницу устроили, провы в тарифах указывают в кило(мега, гига) битах, а они – в килобайтах?!...

— unknown (05/02/2010 17:48)   


а я обратно запутаюсь с Вашей:)
во всём рунете никто не смог помочь с ответом по iptables?


вы локально отправляете пакеты, а не на другой хост. Есть особенности,


Вам всё равно придётся всё самому проверить, настроить и свериться с маном по iptables. Иногда это нелегко и становится утомительным, я вас понимаю.
А мне надо для этого перещёлкивать страницу топика обратно и ещё раз смотреть в ваш конфиг, хотя даже (ещё?) один пользователь, настроивший iptables для Tor'a по готовой инструкции с последующими подсказками меня абстрактно радует :)


Могу предположить, что им удобнее так считать было пропускную способность сети.

— Гость (05/02/2010 19:56)   

вы локально отправляете пакеты, а не на другой хост. Есть особенности

а почему тогда те правила iptables блокируют эти пакеты?

— unknown (05/02/2010 21:46, исправлен 05/02/2010 23:09)   

Какие те, какие эти? Вы про пример из FAQ?

После того как пакеты tornet_user завёрнуты в Tor их владелец меняется, они становятся пакетами юзера debian-tor, которому разрешено беспрепятственно выпускать в сеть все пакеты. Вот поэтому Tor продолжает работать (в непринудительном порядке, если использовать обычные средства: torbutton, privoxy) и для остальных (незаторенных) пользователей.

В тоже время всем пакетам tornet_user не разрешено выходить в сеть, поэтому если их не удалось завернуться в Tor, то они перенаправляются на localhost где и исчезают (поскольку отдпропать их в цепочке NAT теперь нельзя).

Стоп! Путаница с пониманием вопросов и поэтому вычеркнутое — ответ не в ту тему. Сервер вообще может перенаправлять пакеты на любые порты как ему вздумается, к форвардингу пакетов ядром это отношения не имеет.

— Гость (07/02/2010 06:47)   
на сколько помню, топикстартер тему замутил по поводу охлаждения внутреннего железа ноутбука. так как с ним? Помогли советы ?

— Гость (30/04/2010 23:06)   

на сколько помню, топикстартер тему замутил по поводу охлаждения внутреннего железа ноутбука. так как с ним? Помогли советы ?

В принципе, сама по себе работа сервера не слишком греет ноут, очень сильно греет когда качаешь много торрентов, компилишь едро, запускаешь много виртмашин и т.п.
Особенно когда ноут стоит на деревянном столе.
Я купил за 700 рублей алюминивую дырявую подставку под ноут с двумя кулерами.
Кулера не очень мощные, но снижают температуру градусов на 5 – 8, и сама подставка также снижает (от стола не греется).
В результате, при запущенной закачке кучи торрентов, открытых нескольких вирт. дисплеях, запущенных от разных пользователей браузеров и почт. клиентов, а самое главное – запущенных 4-х гостевых ОС, ноут нагрелся до 55-60 С максимум (процессор), хард – до 45 – 57.
Если бы я это выделал когда он стоял на столе, процессор бы нагрелся до 90 С и хард – до 50 – 52.

— Гость (01/05/2010 01:42)   
Да, проц до 90 это ужас! У меня сердце кровью обливается когда видео конверчу – 65 -69 С! А с подставочкой, охлаждающей хард выше 36 С никогда не поднимается – даже при том когда интенсивно юзаеться – запись/чтение. А если один сервер работает – у меня проц где то 47-49 С. то есть практически холодный, при том что траф вход/исход 10мбит/с

— Гость (01/05/2010 20:31)   
Температура проца в обычном PC – не то же самое, что в ноуте. Там стоят разные процессоры, у которых разные температурные рабочие режимы. То, что для обычного PC смерть и перезагрузка из-за перегрева – для ноутового проца – обычный режим. Например, в некоторых core2duo максимум рабочих температур – 100. Чтобы охладить проц при нагрузках часто достаточно под ноут положить железную тарелку.