— unknown (25/03/2009 13:29)   
ntpd? А разве он рабоет не по UDP?

— unknown (25/03/2009 13:33)   
как заторить всё в Линуксе^[link1]

Например, как-то выдавая нахождение тебя в том или ином часовом поясе

export TZ=UTC

— Гость (25/03/2009 19:44)   
Про "NTP vs анонимность" вы уже не первый кто интересуется. Смотрите обсуждение здесь^[link2].

как-то выдавая нахождение тебя в том или ином часовом поясе

Не забывайте, что большинство браузеров по умолчанию сообщают ваш числовой пояс. И если http-запросы с указанием часового пояса можно резать посредством privoxy, то с https сложнее (умеет только torbutton-плагин для firefox). Также, JS может стучать про уникальные параметры машины (там не только часовой пояс потенциально может быть, но и используемое разрешение экрана и т.д.). Есть много сайтов, котоырй тестируют вашу браузерную анонимность и позволяют узнать всё, что допускает браузер. Проверяйтесь там.

Сетевые запросы от консольных команд типа "whois", "dig" и т.п. идут напрямую в сеть. Как их заторить?

Используйте консольную тулзу proxychains^[link3]. Кстати, dns-резолвинг она умеет делать через тор сама. Наряду с этим, умеет работать с цепочками произвольных проксей, а не только тором, который может быть лишь одной из проксей в цепочке (любители плести цепи заценят :) ).

— Гость (03/04/2009 01:59)   
unknown, не подскажите, а что делать в Дебиане, где есть псевдопользователь Тор? А то на страничке написано, что типа кроме Дебиана.
Разве не стоит создать специального юзера, опираясь только на работу с настройками псевдопользователя?

— Гость (03/04/2009 02:52)   
А что мешает повесить на псевдопользовтаеля Tor сервис тора? Процедура вроде бы стандартная. Читайте man tor каким опциями это включается, смотрите логи ошибок при запуске, и проследите за тем, чтобы этот псевдопользовтель имел доступ на чтение к нужным ему файлам типа конфигов тор.

— unknown (03/04/2009 08:58)   
в Дебиане всё, что нужно сделать для псевдопользовтеля Tor, уже сделано. На нём кроме самого сервиса tor как-раз ничего лишнего не висит и не должно. Что вы ещё собираетесь к нему прикрутить?

— Гость (16/12/2009 15:02)   
unknown, а где можно почитать по тому, как устроена работа tor под Debian?
Приложения то (бразуер, почтовый клиент, ком. строка) работаю под обычными юзерами, как обеспечить чтобы в этих случаях обычный юзер работал только посредством псевдопользователя tor, и не ломился в сеть напрямую?!

— unknown (18/12/2009 11:52)   
В нашем FAQ по анонимности. Из вышеприведённой ссылки.

— Гость (19/12/2009 10:15)   
unknown, в ФАГе нашел такое:

Примечание 2: в системе Debian за сервисом тора закреплён отдельный пользователь debian-tor, так что вместо значения tor-uid можно указывать имя этого пользователя, что лучше, так как его имя в отличие от номера не предполагает изменений.

$IPTABLES -t nat -A OUTPUT -m owner --uid-owner debian-tor -j RETURN

Не совсем понял, это правило заворачивает исходящий трафик из под псевдоюзера debian-tor в прокси, как я понимаю.
Однако сетевые приложения запускаются же не от него, а от других юзеров.

— Гость (19/12/2009 10:51)   

Однако сетевые приложения запускаются же не от него, а от других юзеров.

Пользователь, от имени которого запущен tor – это одно, а пользователи, которые работают с сетью через тор, т.е. шлют пакеты tor'у, работающему под вышеозначенным пользователем и слушающему на localhost:порт – другое.

— Гость (19/12/2009 12:49)   
— Гость (19/12/2009 10:51),

Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?

— unknown (19/12/2009 15:36)   
В FAQ по анонимности объяснено как раз на примере Debian.

Только не нужно путать двух пользователей.

Для демона tor в системе искаробочно уже создан пользователь debian-tor с ограниченными правами. Для работы с заворачиванием трафика в Tor нужно дополнительно создать другого полноценного пользователя, в примере он назван tornet_user — не для демона, а для себя (для пользователя).

Для tornet_user в iptables задаётся правило, заворачивающее весь его трафик в tor.

Можно работать одновременно или поочередно с обычным, незаторенным юзером или с заторенным.

Примеры комманд, конфигов и правил приведены.

— Гость (19/12/2009 17:22)   

Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?

Общая простейшая схема не зависит ни от ОС, ни от, тем более, дистрибутива.

1. Создаётся 2 пользователя: usual_user и tor_user.
2. Запускается X-сервер на двух дисплеях одновременно: каждый под своего пользователя. Чтобы переключиться из тора в обычный браузинг достаточно, т.о., просто перейти из одних иксов в другие.
3. Настраивается firewall так, чтобы usual_user мог ходить в инет напрямую, а tor_user – только через тор. Закрываются все ненужные порты и IP для коннекта для юзера tor_user.
4. Сам тор запускается от имени некоего третьего пользователя с ограниченными правами, и добавляются соответствующие правила в firewall, позволяющие ему принимать пакеты от privoxy и отправлять их в инет.
5. Само privoxy запускается от имени некоего четвёртого пользователя с ограниченными правами, и добавляются соответствующие правила в firewall, позволяющие privoxy принимать пакеты от usual_user и отправлять их на localhost:порт, на котором запущен тор.

При необходимости настроить privoxy для обычного браузинга инета без тора, а также при желании сделать прозрачную торификацию (это посложнее, чем просто зарезать порты, и больше подводных камней), правила, соответственно, дорабатываются.

— unknown (19/12/2009 23:46)   
Использование двух иксов возможно предпочтительнее в плане безопасности, но тут есть вопросы удобства и личного предпочтения.

Прозрачная торификация позволит работать любым программам через Tor, даже тем, которые не умеют socks (например иметь доступ к почте на скрытых сервисах). Но эти же программы могут слать уникальные/редкие/нефильтруемые/деанонимизирующие заголовки через сеть.

Злостный кошмар конфигурации — использование связки iptables-SELinux никем пока не был осуществлён.

— Гость (22/12/2009 04:28)   

Использование двух иксов возможно предпочтительнее в плане безопасности, но тут есть вопросы удобства и личного предпочтения.

Ещё есть способ через Xnest. Можно из физически одних иксов назапускать кучу "внутренних X-серверов" через Xnest, соответствующих разным пользователям с разными привелегиями (будет выглядеть как n десктопов, в каждом из которых свои окна/фреймы). Насколько это безопасно – пока не разбирался.

— Гость (22/12/2009 04:37)   

Используйте консольную тулзу proxychains

proxychains'овский proxyresolv можно пофиксить таким образом, чтобы он не делал все DNS-запросы сам у фиксированного DNS-сервера, а предоставлял эту возможность тору, что безопасней, т.к. DNS-разрешение в таком случае будет делать сама текущая exit-нода у своего DNS-сервера. Вот пример пофикса (умолчальный вариант закомменчен):
$ cat /usr/local/bin/proxyresolv #!/bin/sh # This script is called by proxychains to resolve DNS names # DNS server used to resolve names #DNS_SERVER=4.2.2.2 if [ $# = 0 ] ; then echo " usage:" echo " proxyresolv <hostname> " exit fi #export LD_PRELOAD=/usr/local/lib/libproxychains.so #dig $1 @$DNS_SERVER +tcp | awk '/A.+[0-9]+\.[0-9]+\.[0-9]/{print $5;}' LD_PRELOAD= tor-resolve $1 localhost:9050 $ cat /usr/local/bin/proxychains #!/bin/sh echo "ProxyChains-3.1 (http://proxychains.sf.net)" if [ $# = 0 ] ; then echo " usage:" echo " proxychains <prog> [args]" exit fi export LD_PRELOAD=/usr/local/lib/libproxychains.so exec "$@"
В данном случае, естественно, proxychains рулит все запросы только через один socks, который и есть тор.

— Гость (28/07/2013 18:56)   

proxychains'овский proxyresolv можно пофиксить

UPD: в современных Linux эти файлы находятся в:

• /usr/lib/proxychains3/proxyresolv
• /usr/bin/proxychains

DNS_SERVER=4.2.2.2 прописан, как и ранее, поэтому пофикс желателен.

— Гость (28/07/2013 22:59)   
вот здесь

/usr/bin/proxychains

нет этого: export LD_PRELOAD=/usr/local/lib/libproxychains.so

там строка: export LD_PRELOAD=libproxychains.so.3

— Гость (28/07/2013 23:35)   

нет этого: export LD_PRELOAD=/usr/local/lib/libproxychains.so
там строка: export LD_PRELOAD=libproxychains.so.3

Вы же видите, что в комменте выше оно не закомменчено. Следовательно, таков был дефолт в той версии proxychains 4 года назад, и его не меняли пофиксом. Наверное, сейчас тоже можно ничего не менять в этой строке. Вообще, полный путь к файлу — /usr/lib/libproxychains.so.3, причём сам libproxychains.so.3 — симлинк на /usr/lib/libproxychains.so.3.0.0. В общем, должно работать без изменений в той строке.

— Гость (03/08/2013 03:37)   
ткните, где на форуме обсуждалось/объяснялось, как заторить весь трафик (не только тор браузер) под винды? tor.exe с какими-то параметрами или маршрутизацию прописывать или в прокси какой софт направлять

— Гость (03/08/2013 08:50)   

прозрачная торификация в винде делается почти искаропки через Proxifier, но он работает как intercepting proxy — это самое популярное решение в винде для заворачивания всего трафика в Tor.

/comment58276^[link4], /comment67817^[link5], только тред внимательно читайте по ссылкам.

— Гость (03/08/2013 17:43)   
быть может подойдет это^[link6] ?

— Гость (03/08/2013 21:02)   
А у меня похожая проблема. Нужно торифицировать VOIP трафик что прописывать в клиенте в STUN или STUD или как их там? 127.0.0.1:9050 не работает (

— Гость (04/08/2013 03:11)   

Вполне возможно, но оно требует установки виртуальных машин, не все хотят так заморачиваться.


Точки и запятые на забывайте ставить, никому не охота разбирать бред поток сознания. Конкретный софт, список торифицирумых протоколов — это тоже надо оговаривать. С проприетарными программами надёжны только универсальные методы типа этих^[link7], прозрачной торификации и т.п.

— Гость (04/08/2013 18:45)   

Точки и запятые на забывайте ставить, никому не охота разбирать бред поток сознания.

Что-то в последнее время увеливилось раздражение на форуме :-(

Конкретный софт, список торифицирумых протоколов – это тоже надо оговаривать

Да любой под оффтопик (виндовс) хоть Xlite, хоть Portgo... с чем реально заработает.

надёжны только универсальные методы типа этих,

Там слишком тяжелое и куча дополнительного софта. А вопрос скорее теоретический: можно ли в софте для телефонии прописать торовский сокс как это делается в биткойновском софте?

— Гость (05/08/2013 01:30)   

А вы хотите ничего не знать, не уметь, не изучать, не напрягаться, но чтобы у вас всё было по высшему классу и вам за этого ничего не было? :)


Да стопудово можно, если настройки для сокса есть. Если нету, завернуть на сокс принудительным соксификатором (proxycap, proxyfier). Какой трафик после этого пойдёт в сокс, а какой и при каких обстоятельствах^[link8]* напрямую в инет — вопрос другой, но вам же это не интересно.

^*Текст устарел, но суть из него понять можно.

— Гость (05/08/2013 01:38)   

А вы хотите ничего не знать, не уметь, не изучать, не напрягаться, но чтобы у вас всё было по высшему классу и вам за этого ничего не было? :)

не, просто глюкодромы нехочется плодить...

— Гость (05/08/2013 02:00)   
Скачать tails:

https://tails.boum.org/

И посмотреть как "заторить" сетевые консольные команды.

— Гость (05/08/2013 04:48)   
Спасибо всем за ответы!
Помогите ленивому ламеру, подскажите где можно скачать безопасный софт для телефонии поддерживающий сокс?
Отблагодарю битками! Очень надо! (

— Гость (05/08/2013 19:28)   

Здесь.

Там ток торфон и всякие софтовые криптофоны с вокодерами(

Я эту ветвь читаю давно и торфон люблю, но в данном случае мне нужен полноценный SIP клиент чтобы звонить через совместимые сервисы IP телефонии. Или я невнимательно 20 страниц того треда прочел? Mumble это реализует или кто?
Если не сложно, дайте более точную ссылку на то что вы имели ввиду.
Повторю, что нужно завернуть трафик VOIP через SOCKS TOR-а "малой кровью" (без инсталляции лишнего) и т.к. комп не мой, то к сожалению под винды(
Поэтому ищу те клиенты VOIP, которые позволят у себя в настройках указать путь через SOCKS и чтобы их можно было использовать с коммерческими сервисами VOIP/SIP.

— SATtva (05/08/2013 19:31)   
Если под телефонией имелся в виду SIP-клиент, то моя ссылка, конечно, нерелевантна.

— Гость (06/08/2013 10:45)   

В wikipedia есть страница comparison of VoIP Software. Отбираете оттуда софт с открытыми исходниками. Из него — тот, который существует под вашу ОС. Из него — тот, кторый дружит с вашими провайдерами. Получается первый список. Идёте на сайты проектов из этого списка и проверяете, могут ли они работать через SOCKS. Если из сайтов это не ясно, устанавливаете и проверяете самостоятельно. Когда выяснен список тех, кто ещё и SOCKS поддерживает, запускаете снифер и смотрите, какие пакеты идут мимо SOCKS, и зачем они нужны. Если вылечить нельзя, пытаетесь их заблокировать firewall'ом. В итоге что-нибудь с какими-нибудь призрачными гарантиями, возможно, заработает. Или не заработает. Я не поручусь что полученное множество не окажется нулевым. Готового ответа нет.

— Гость (07/08/2013 00:28)   
Вы не поняли! Клиент выше предлагает "Отблагодарю битками" если всю эту работу проделают за него :)

— Гость (07/08/2013 01:45)   

Клиент выше предлагает "Отблагодарю битками"

грошей хвата
битков тож
оплата принимаеться тильки свежими несавершенолетнеми бл*ми и новыми сипиунитами
нет бл*й – нет воипов с носками
тролляля

— Гость (07/08/2013 06:43)   

битков тож

поделишься? (дожил! побираться на пгп ру пришел)