Есть ли смысл поднимать сервер на ноутбуке?
По ряду причин мой основной компьютер – ноутбук, соответственно дома у меня большого PC нет.
Есть ли смысл поднимать сервер на ноутбуке? Тем более что вряд ли можно позволить себе на нем большом аптайм, ибо места для его внутренностей мало, соответственно есть риск выхода из строя из-за нагрева.
Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?
У меня значение форвардинга выствавлено в 0 (собственно, это умолчальное значение в дебиане, а в iptables я "перестраховался" установив в указанной цепочке политику DROP.
Это не помешает работе tor-сервера?
2.
Меняет раз в сутки. Плюс раз в сутки у меня роутер перезагружается автоматически.
3.
Да. У меня дома за рутером мой ноут, еще один ноут и еще периодически КПК подключаются.
P. S. А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?
P. P. S. Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть. С бриджем в этом не будет необходимости, если не подозревать владельцев сети Tor в том, что они тебя отслеживают.
Ничего не понял.
комментариев: 9796 документов: 488 редакций: 5664
Нет, а зачем? Даже для прозрачной торификации не нужно, если это вы этим вопросом мучаетесь в соседней ветке. Оставьте как есть, работе сервера это не помешает.
Значит сервер будет вываливаться из статистики Tor-сети и заново медленно разгоняться несколько часов до полной загрузки канала. Если вам известно точное время, когда провайдер это делает, то поставьте перезагрузку роутера на это же время, а в кронтабе пропишите за несколько минут до этого /etc/init.d/tor stop (скрипт остановки и через несколько минут после: /etc/init.d/tor start,
чтобы трафик пользователей, проходящий через ваш узел не дропался внезапно, а у них была минута на перестройку цепочек и чтобы ваш узел плавно выводился из статистики и заново в неё попадал быстрее.
Ну надо придумывать, как всё лучше настроить.
Операторы бриджей жалуются в рассылке, что через них неделями не идёт вообще никакого трафика.
Запуская свой промежуточный узел вы строго говоря получаете сильную защиту от сайта, который пытается вычислить ваш IP, т.к. он не сможет отследить, даже если до вас доберется — пришёл к нему запрос с вашей машины или через вашу.
Но от изощрённого противника со стороны прова это слабое увеличение анонимности — можно статистически отфильтровать ваши запросы от проходящих через вас. Правда это требует активного прицельного мониторинга. Обычные системы ведения логов быстрее подавятся вашим трафиком с тысячами соединений, так что в общем ваша анонимность увеличивается.
Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.
Ещё разработчики рекомендуют — если у вас на машине не запущено вэб-серверов (не заняты порты 80 и 443), то рекомендуется повесить tor-узел на них:
Ноутбук иногда используется не дома, а в публичных wifi-сетях. Когда он работает как tor-сервер, его ip сохраняются и выкладываются на сайтах торпроекта (с именем). Получается, что оставлять включенным тор-сервер во время нахождения в публичных вайфай-сетях – в случае, если враг доберется до твоего ip-адреса в этих сетях, разрушает твою анонимность.
комментариев: 9796 документов: 488 редакций: 5664
Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе.
Про проблемы перемещения сервера-узла сведений от разработчиков нет, насколько там ситуация становится лучше или хуже.
Но по крайней мере в публичных wifi-сетях действительно будут знать ваш домашний ip-адрес и знать, что владелец сервера — это вы и следить за вашим перемещением по этим сетям, если вас беспокоит снижение анонимности с этой точки зрения.
В публичных сетях вообще-то сервер не очень можно погонять по соображениям скорости и там вы наверное за NATом будете и никто вам порты не пробросит и кучу соединений не даст открыть — может быть масса ограничений.
А если эти кэши руками стирать? В каком файле, кстати, они храняться?
комментариев: 11558 документов: 1036 редакций: 4118
Не слишком хорошо для анонимности — собственно, guard-узлы были введены, чтобы entry-нода каждый раз не менялась.
Что-то вроде /var/lib/tor/data/state
SATtva, а что если на время работы в открытых wifi-сетях очищтать этот файл руками, а когда приходишь домой восстанавливать? А если работаешь на ноуте дома, в офисе (или нескольких офисах) и публичных wifi-сетях, иметь несколько вариантов этого файла для стационарных мест работы, и пустой – для публичных сетей?
P. S. Не подскажите, что храниться в остальных файлах:
Кэш-сертс, понятное дело, сертификаты, дескрипторс – это список нод, с которыми коннектишься чтоли? А кэшд-консенсус?
комментариев: 9796 документов: 488 редакций: 5664
Результат голосования корневых директорий между собой по поводу статистики сети.
комментариев: 9796 документов: 488 редакций: 5664
Вопрос о guard-узлах и что с ними (не надо) делать внесён в черновик кандидатов в FAQ.
комментариев: 9796 документов: 488 редакций: 5664
У него ноут NAT вроде не делает, всё подключается через рутер, который всем в домашнем хозяйстве (или где-там) уже сделал NAT.
Сервер работает только когда они включаются в самом верху, до правила
(Все политики у меня выставлены в DROP)
Если разместить его после этого правила, сервер не запускается, в логе пишется что порты 9001 и 9030 недостижимы.
Как это правило мешает соединению с сервером тора?
И еще, верх моего конфига iptables таков:
Какие-то из них можно ли или может быть следовало бы поднять выше правил, разрешающих соединения с тор-сервером, так, чтобы это не помешало его работоспособности? В частности, запрещающие syn-наводнения, пакеты-инвалиды и т.п.?!
(последняя строчка)
P. S. В tcpdump вижу, как мой сервер коннектиться с другими с порта .9001, это уже радует!!!