— Гость (27/08/2009 06:23)   

или до внешнего ip роутера, на котором NAT, тоже могут добраться?!

Попробуйте из виртуальной машины выполнить из командной строки (для случая Linux) команду:
$ traceroute -I -n mail.ru
Подумайте над результатом. Узнайте что такое параметр пакетов ttl и как происходит его нормализация на стороне nat-сервера (кстати это один из простых и наивных способов бана ната). Впрочем, в предположении, что java и прочие могут выполнить произвольный код на виртуальной машине с правами пользователя, можете оценить сами: если вы можете определить, находясь в комстроке где вы находитесь, то потенциально и зловредные программы могут (например, отослав в обход тора запрос на подставной сервер напрямую, что оставит в его логах ваш внешний ip). Имено в связи с такимирассуждениями настоятельно рекомендуется настраивать тор-клиент на сервере, а не на виртуальной машине, и уже сервер (его файерволл) должен отвечать за то, что никакой трафик из натируемой машины не выйдет напрямую в инет, минуя тор.

— Гость (27/08/2009 12:26)   

настраивать тор-клиент на сервере

А если Tor будет стоять снаружи виртуальной машины, может этого будет достаточно?

— Гость (27/08/2009 23:44)   
Важно, чтобы заторифицированные программы никаким образом не могли попасть в инет минуя административный файерволл с тором (даже будучи взломанными и подконтрольными злоумышленнику), а уж как вы это настроите – другой вопрос.

— Гость (28/08/2009 01:51)   
Это как раз тот самый вопрос! А общие фразы говорить – дело нехитрое )

— Гость (28/08/2009 01:57)   

А общие фразы говорить – дело нехитрое )

Пример конкретики^[link1] уже обсуждался на сайте.