Есть ли смысл поднимать сервер на ноутбуке?

>9

Что вы хотите конкретно сделать? По умолчанию вообще ничего настраивать не нужно.

Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?
У меня значение форвардинга выствавлено в 0 (собственно, это умолчальное значение в дебиане, а в iptables я "перестраховался" установив в указанной цепочке политику DROP.
Это не помешает работе tor-сервера?
2.

Если провайдер не меняет его слишком часто, то нормально.

Меняет раз в сутки. Плюс раз в сутки у меня роутер перезагружается автоматически.
3.

Что значит, "с компьютеров, включенных в LAN"? Вы NAT для внутриквартирной сетки делаете? Раздаёте инет по вайфаю?

Да. У меня дома за рутером мой ноут, еще один ноут и еще периодически КПК подключаются.
P. S. А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?
P. P. S. Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть. С бриджем в этом не будет необходимости, если не подозревать владельцев сети Tor в том, что они тебя отслеживают.

Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны.

Вроде всё так

Однако, по-видимому, с промежуточной нодой когда входишь в инет с ноута вне обычной точки, надо тор-сервер отключать, поскольку как мне кажется повышается угоза анонимности: тогда в сети будут выложены ip моего сервера, корреспондирующие точкам входа в сеть.

Ничего не понял.

Т.е., для работы tor-сервера машина вовсе не должна быть настроена как роутер (с включением форвардинга на уровне ядра и соответствующих настройках в цепочке FORWARD таблицы "фильтр" в iptables?

Нет, а зачем? Даже для прозрачной торификации не нужно, если это вы этим вопросом мучаетесь в соседней ветке. Оставьте как есть, работе сервера это не помешает.


Значит сервер будет вываливаться из статистики Tor-сети и заново медленно разгоняться несколько часов до полной загрузки канала. Если вам известно точное время, когда провайдер это делает, то поставьте перезагрузку роутера на это же время, а в кронтабе пропишите за несколько минут до этого /etc/init.d/tor stop (скрипт остановки и через несколько минут после: /etc/init.d/tor start,
чтобы трафик пользователей, проходящий через ваш узел не дропался внезапно, а у них была минута на перестройку цепочек и чтобы ваш узел плавно выводился из статистики и заново в неё попадал быстрее.

Ну надо придумывать, как всё лучше настроить.

А что больше повышает мою (именно мою) анонимность – бридж или промежуточный тор-сервер? Имхо, все-таки промежуточный, т.к. через него больше постороннего трафика идет и во все стороны. Или я не прав?

Операторы бриджей жалуются в рассылке, что через них неделями не идёт вообще никакого трафика.

Запуская свой промежуточный узел вы строго говоря получаете сильную защиту от сайта, который пытается вычислить ваш IP, т.к. он не сможет отследить, даже если до вас доберется — пришёл к нему запрос с вашей машины или через вашу.

Но от изощрённого противника со стороны прова это слабое увеличение анонимности — можно статистически отфильтровать ваши запросы от проходящих через вас. Правда это требует активного прицельного мониторинга. Обычные системы ведения логов быстрее подавятся вашим трафиком с тысячами соединений, так что в общем ваша анонимность увеличивается.

Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.

Ещё разработчики рекомендуют — если у вас на машине не запущено вэб-серверов (не заняты порты 80 и 443), то рекомендуется повесить tor-узел на них:
#вместо ORPort 9001 ORPort 443 #вместо #DirPort 9030 DirPort 80

Последняя фраза у вас действительно абсолютно непонятная. Tor-сервер лучше не отключать, чтобы не было по простому без изощрённых статистических методик анализа видно когда вы пользуетесь tor-сетью, а когда — нет. Пусть прослушивающая сторона видит всегда запущенный tor-сервер.

Ноутбук иногда используется не дома, а в публичных wifi-сетях. Когда он работает как tor-сервер, его ip сохраняются и выкладываются на сайтах торпроекта (с именем). Получается, что оставлять включенным тор-сервер во время нахождения в публичных вайфай-сетях – в случае, если враг доберется до твоего ip-адреса в этих сетях, разрушает твою анонимность.

Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе.

Про проблемы перемещения сервера-узла сведений от разработчиков нет, насколько там ситуация становится лучше или хуже.

Но по крайней мере в публичных wifi-сетях действительно будут знать ваш домашний ip-адрес и знать, что владелец сервера — это вы и следить за вашим перемещением по этим сетям, если вас беспокоит снижение анонимности с этой точки зрения.

В публичных сетях вообще-то сервер не очень можно погонять по соображениям скорости и там вы наверное за NATом будете и никто вам порты не пробросит и кучу соединений не даст открыть — может быть масса ограничений.

Известна проблема снижения анонимности с перемещением клиентов — мобильный пользователь меняет провайдера, но у него остаются закэшированы теже guard-узлы для входа в сеть. Это даже осталось как нерешённая проблема в tor-протоколе

А если эти кэши руками стирать? В каком файле, кстати, они храняться?

А если эти кэши руками стирать?

Не слишком хорошо для анонимности — собственно, guard-узлы были введены, чтобы entry-нода каждый раз не менялась.

В каком файле, кстати, они храняться?

Что-то вроде /var/lib/tor/data/state

О, нашел, благодарю, у меня это просто /var/lib/tor/state.
SATtva, а что если на время работы в открытых wifi-сетях очищтать этот файл руками, а когда приходишь домой восстанавливать? А если работаешь на ноуте дома, в офисе (или нескольких офисах) и публичных wifi-сетях, иметь несколько вариантов этого файла для стационарных мест работы, и пустой – для публичных сетей?
P. S. Не подскажите, что храниться в остальных файлах:
~$ sudo ls /var/lib/tor cached-certs cached-consensus cached-descriptors cached-descriptors.new lock state
Кэш-сертс, понятное дело, сертификаты, дескрипторс – это список нод, с которыми коннектишься чтоли? А кэшд-консенсус?

Результат голосования корневых директорий между собой по поводу статистики сети.

Вопрос о guard-узлах и что с ними (не надо) делать внесён в черновик кандидатов в FAQ.

с включением форвардинга на уровне ядра

Если рутер для кого-то делает NAT (хотя бы для пользователя, который ходит в сеть без Tor), то вроде как надо(?).

А он про рутер или про свой ноут с сервером спрашивал?

У него ноут NAT вроде не делает, всё подключается через рутер, который всем в домашнем хозяйстве (или где-там) уже сделал NAT.

Да он во всех ветках параллельно пишет, по ходу, причём вещи слишком близкие, так что трудно разобраться. Лучше бы создал одну отдельную ветку типа "помогите настроить вот таку-то конфигурацию" и всё.

Включил правила для тор-севера в iptables:
#Разрешаем tor-сервер $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9001 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9001 -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9030 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9030 -j ACCEPT
Сервер работает только когда они включаются в самом верху, до правила $IPT -A INPUT -m state ! -i lo --state NEW -j DROP
(Все политики у меня выставлены в DROP)
Если разместить его после этого правила, сервер не запускается, в логе пишется что порты 9001 и 9030 недостижимы.
Как это правило мешает соединению с сервером тора?

И еще, верх моего конфига iptables таков:
$IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9001 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9001 -j ACCEPT $IPT -A INPUT -i $INET_IFACE -p tcp --destination-port 9030 -j ACCEPT $IPT -A OUTPUT -o $INET_IFACE -p tcp --source-port 9030 -j ACCEPT $IPT -A INPUT -m state ! -i lo --state NEW -j DROP $IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

Какие-то из них можно ли или может быть следовало бы поднять выше правил, разрешающих соединения с тор-сервером, так, чтобы это не помешало его работоспособности? В частности, запрещающие syn-наводнения, пакеты-инвалиды и т.п.?!

Еще вопрос возник вопрос, что за ругань в логе?

Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor. Performing bandwidth self-test...done. Self-testing indicates your DirPort is reachable from the outside. Excellent. Not advertising DirPort (Reason: BandwidthRate under 50KB)
(последняя строчка)

P. S. В tcpdump вижу, как мой сервер коннектиться с другими с порта .9001, это уже радует!!!