Нужна помощ в настройке JanusVM
Нам нужен надежный шлюз, который сделает торификацию всего трафика через тор, чтобы избавиться от утечек и т.д. Вроде бы эта система подходит. Одно НО, нам нужно немного сконфигурировать ее для наших нужд. Может быть кто то выполнит для нас этот заказ? Специального раздела по услугам не нашел, если запостил не в ту ветку сильно не бить ))
P.S.: в таких объявлениях, хотя бы ради приличия, лучше писать город, т.к. удалённая настройка сети чревата дисконнектом.
P.P.S.: я бы, вероятно, взялся, но, увы, живу не в России.
Так как машина виртуальная и запускается через плеейр не вижу никаких проблем настроить ее у себя и просто скинуть нам готовый файл. Она же цельная и не завязана на железо. Готовы работать по предоплате без проблем.
Собственно, всё остальное — это уже пожелания с поправкой на реальность. Данные несколько строчек делаеют из любой BSD-машины Tor-рутер (с поправкой на изменение синтаксиса PF и допуск Tor-клиента к /dev/pf).
Есть ещё такой момент. VMware — фриварное, не opensource. Использовать проприетарный софт для целей сопряжённых с анонимностью — не хорошо. Уязвимость в виртуалке обеспечивает деанонимизацию. Кроме того, VMware как сервер — это когда винда говорит "мамой клянусь, зуб даю, что весь траф буду слать только в виртуалку, напрямую в сеть — да ни в жисть, файерволл (мой же, прикормленный) — свидетель". Такое закономерно заканчивается вот таким вот:
Ну и вышепредложенное "решение проблемы", конечно, специалиста бы не впечатлило :)
По уму
винда вышвиривается на*** в окно сразу же, моментальноделается так, когда нужна винда: делается полноценное серверное окружение, где будет host OS и guest OS. Винда устанавливается в guest OS (нет, делать её host OS не надо, лучше сразу в suicide booth), затем на host OS настраивается tor-клиент и на firewall'е делается редирект всего трафа от guest-OS-машины в сеть. И даже это, боюсь, не идеально. Идеальным может быть только внешний рутер который через себя пропускает всё без всяких опасных игр с виртуалками.И да, JanusVM у нас уже обсуждалась (можете погуглить), но особого энтузиазма на форуме не встретила, кроме как самого концепта, что "такое уже кто-то пытается делать".
Это самое разумное решение. Сгодится любой старый комп.
Ну, для начала,
- я буду занят ещё минимум недели две, и отвлекаться не смогу.
- из-за расстояния (см. выше) возможны только удалённые консультации.
- в принципе реально написать пошаговое руководство к настройке, доступное для понимания любым. Если бы у меня уже было такое руководство и опыт — вопрос был бы описан в FAQ на pgpru. В то же время мне очевидно, что если я возьмусь за эту задачу, я её сделаю, наверное, максимум за день-два.
Вообще, чтобы пользоваться Tor'ом, достаточно настроить клиентские машины установив на них Tor-клиент. Если есть специалист по винде, можно ещё персональный файеволл прикрутить так, чтобы ходить в обход прокси мог только сам Tor.Если клиентских машин много, или хочется большей надёжности и независимости от того, что делают клиенты — можно (вместо предыдущей конфигурации) настроить Tor-клиент на серверной стороне. Это не будет Tor-рутером, а скорее "корпоративной Tor-прокси". Настройка довольно проста и вы наверняка её могли бы сделать сами. Достаточно запустить самый что ни на есть стандартный Tor-клиент на сервере (как это обычно делается) в его дефолтной конфигурации, а также privoxy, причём проинструктировать privoxy слушать соединения не на 127.0.0.1, а реальном IP вашей локальной сети (изменить лишь одну опцию, т.е.). Тогда на клиентских машинах указывается IP сервера и порт privoxy, и всё будет работать. Конечно лучше, если серверная машинка имеет файерволл понадёжней и клиентские машины просто физически не могут лезть в сеть в обход сервера. Я к тому, что в принципе на сервере может стоять обычная винда :)
Реальный Tor-рутер на винде запустить в принципе нельзя, и единственное концептуальное отличие от предыдущего случая — лишь большее удобство для клиентов: теперь у них на машинах не надо указывать в каждой программе IP и порт корпоративной privoxy — достаточно ввести стандартные адреса для маршрутизатора и DNS. Разумно клиентские машины, используемые для Tor'а, никогда не использовать для работы напрямую, по понятным причинам.
Ну вот вкратце как-то так. Т.е.
1) До нового года вопрос вполне ждет, можно на новогодних каникулах сделать.
2) с пошаговым руководством беда будет полная, я вот вчера попробовал разобраться в линуксе и установить 1С сервер на его базе. Вроде бы мануалов достаточно но я потратил на это СУТКИ. Причем не смотря на то, что база крутиться и заработала я совершенно не уверен что сделал все правильно ))) и чем это аукнется потом. Поэтому:
3) самый реальный вариант это что бы Вы сделали например образ LiveCD который запускается с диска на отдельной машине и все делает сам и торификацию и фаерволл )) конфигурацию сети я бы дал.
Основная проблемма – это использование цепочки прокси на выходе НЕ торовских. Из за этого приходится пользоваться widecap ом, который периодически падает а особенность его работы такова, что что бы корректно шло через него в тор, приложение ставиться в режим работы как будто нет никаких прокси. Ну и соответственно что происходит когда падает widecap понятно – ломиться напрямую все. Это основная проблемма. Отдельный фаервол кое как вроде решает эту задачу, но он конфликтует с widecapom и тот его роняет тоже периодически ))) ну и плюс хотелось бы обезоваситься от всяких приложений которые попробуют пойти минуя прокси, а так же в идеале – если противник получит доступ над машиной – что бы он не могу понять вообще где она. Тоесть что бы даже трасерт не ходил или шел только через тор. Это как раз обеспечивает выделеный рутер с впн к нему – если я правильно понимаю
Поэтому самый самый идеальный вариант – получить от вас готовую сборку которую мы запустим на двух серверах. компов рабоих у нас мало – и никакой сложной конфигурации там нет, нужно просто что бы один выходил через одну конечную точку, второй через вторую )) вот и все ))
Самое главное надежность. Если вы в принципе не отвергаете возможность посотрудничать, может быть спишемся в аське или еще как то? мне кажется народу не особо интересен наш частный диалог )) И кстати готовую сборку эту можно было бы потом выложить тут для народа – пусть все пользуются. А затраченное на изготовление время мы оплатим – о цене я думаю договоримся.
Можно и так.
Т.е. widecap нельзя заставить работать через внешнюю прокси? Если выделенный сервер пускает в сеть машины только через свою прокси, то они никак в обход прокси не пройдут, тем более не будет работать (попросту не будет) никакой trasert и т.п. Проблема здесь только в том, что если есть приложения, не умеющие работать с прокси, то их никак не проксифицировать (ну, в принципе, есть полууниверсальные проксификаторы и прочие костыли, но это уже тонкости).Т.е. Да, верно, но и в случае с прокси будет так же за исключением вышеприведённых оговорок.
Соединение с интернет-провайдером какого типа? ADSL, PPTP VPN, статический IP по ethernet? Настройка сети в UNIX с проприетарными протоколами довольно неблагодарная задача и сильно зависит от настроек провайдера...
Хорошо. Для меня предпочтительнее jabber (лучше даже с включённым PGP — если пользуетесь, напишите сюда отпечаток ключа). Если предпочитаете другие варианты (icq/mail) — оставьте здесь свои контакты.
На мой взгляд эта задача чем-то сложней и менее конструктивна. Ещё не так давно её мог решить только профессионал, а ещё чуть раньше это нельзя было сделать в принципе без эмуляции.