Прошу объяснить о Торе

Я готов выбрать парольный метод. Как это сделать? Здесь обсуждений я не нашел.
Задача простая: отовсюду иметь возможность серфить и вести переписку через мой удаленный сервер, на котором запущен Tor.

А если в torrc прописать IP сервера?
#SocksPort ip_server:9050

По-моему, настройки локального клиента и удалённого сервера (VPS) никак не связаны между собой. Согласно документации, чтобы удалённый сервер работал как релей, нужно

1. Открыть на нём OR-порт с помощью опции:

ORPort IPaddr:443

Желательно указать свой адрес, если у смотрящих за сетью возникнут вопросы

ContactInfo human@...

Если не хотите чтобы он стал exit, нужно запретить:

Exitpolicy reject *:*

2. Разрешить в файрволе внешние TCP-соединения с IPaddr:443

После этого подождать, когда в логах появится сообщение о доступности OR-порта извне. По умолчанию будет использоваться вся пропускная способность на VPS. Если это не подходит, нужно ограничить скорость.

Советуют ещё опцию Nickname указывать, кто знает обязательна ли она? Собираюсь тоже запустить свой Tor-релей, так что написанное выше пока не проверял.

В принципе можно совместить сервер (релей) с локальным клиентом если есть белый адрес, либо пробросить OR-порт с VPS на localhost. Но это делать не рекомендуют, т.к. появляется возможность для деанонимизации. Противник может пропускать трафик через ваш релей и наблюдать за спадами во время вашей собственной сетевой активности. Поэтому лучше клиент и релей держать отдельными процессами, даже если они оба на локальном хосте.

Извиняюсь, похоже что неверно воспринял тему. Самый простой спосооб подключиться к Tor-клиенту на удалённом сервере это выполнить команду

ssh -L 9050:example.com:9050

В браузере должен быть указан SOCKS-сервер locahost:9050 (по умолчанию). VPN-туннели и пароли к Tor-клиенту в данном случае не нужны.

Супер! Ведь таким образом мало того, что ВЕСЬ трафик торифицирован, так еще его нельзя отснифить, да?
Ну т.е. DPI не распознает трафик Tor, т.к. задействован еще и SSH.

Да, но надо ещё позаботиться о том, чтобы ничего не шло мимо Tor.

А чем это лучше заворачивания трафика локального тор-клиента в SSH и выпускания такого трафика на удалённом сервере? На котором при этом может вообще не стоять Tor-сервер.

1. Если tor-клиент стоит на удалёнке, то помимо коннекта для трафика, нужно всё равно соединяться с удалённым управляющим портом, чтобы сбрасывать цепочки в тор при смене сайтов.
2. Если удалённый сервер находится у недоверяемого хостера, то он может дампить его содержимое, видеть какие цепочки строит Tor-клиент и перехватывать расшифрованный трафик между SSH и Tor. Следует всегда исходить, что хостер недоверяем.
3. Но если шифроваться в Tor локально, а в SSH только заворачивать трафик и выводить его у хостера, то хостер будет видеть только соединения с сетью Tor, которые мог бы видеть ваш ISP, но не мог бы видеть исходный расшифрованный трафик. Это тоже самое, что [Localhost Tor] — [SSH tunnel] — [Remote Host SOCKS Proxy] — [Tor Guard Nodes] — [Tor Network].

Всё верно, это ничем не лучше, просто человек видимо хочет установить Tor-клиент на VPS и безопасно подключаться к нему с разных мест.

У меня тоже появился вопрос. Можно ли ограничить список сторожевых (guard) узлов, исключив из них принадлежащие определённой территории. Если использовать опцию

ExcludeNodes {ru}

то запрет распространится на все узлы, включая exit, что может понизить анонимность. Если среди ограниченного числа entry-узлов окажется противник, это даст ему много возможностей для анализа трафика.

А чем это лучше заворачивания трафика локального тор-клиента в SSH и выпускания такого трафика на удалённом сервере?

То есть сделать тоже самое, только при условии, что Tor стоит локально на компьютере? А если еще и на удаленном сервере, это повысит безопасность?
Да, Вы правы, я хочу иметь доступ к моему шифрованному каналу отовсюду, без плясок с установкой VPN и тд. Так как порой важна скорость и из задач просто проверить почту.

EntryNodes node,node,…

A list of identity fingerprints, nicknames, and country codes of nodes to use for the first hop in your normal circuits. Normal circuits include all circuits except for direct connections to directory servers. The Bridge option overrides this option; if you have configured bridges and UseBridges is 1, the Bridges are used as your entry nodes.

The ExcludeNodes option overrides this option: any node listed in both EntryNodes and ExcludeNodes is treated as excluded.

Если там нет поддержки регулярных выражений, то придёться забивать в конфиг все country-коды кроме желательных.

Вообще, всё это условно. Никто не мешает противнику из одной страны держать сервер в другой.

В какой конкретно конфигурации? Я вроде перечислил основные соображения.

Если там нет поддержки регулярных выражений, то придёться забивать в конфиг все country-коды кроме желательных.

Будет ли такое работать

EntryNodes {!ru}

Или возможно явно указать нужные входные узлы. Или бридж на подходящей территории использовать?

Никто не мешает противнику из одной страны держать сервер в другой.

Чтобы контролировать трафик на своей территории, ему даже сервера не надо держать.

Не в курсе про поддержку регулярных выражений, образец которого вы привели. В доках это явно не указано.

Они же могут меняться и исчезать.

Бридж снижает и анонимность, и стабильность связи в обмен на обход блокировок.

Для атак анализировать внутреннее состояние пропатченного подконтрольного сервера всё-таки легче, чем парсить только входящий и исходящий трафик узла, наблюдая его снаружи как чёрный ящик. Хотя, при максимальных допущениях о возможностях противника — разница несущественна.

У меня так:


Всё работает, иногда ноды чуть-чуть французкие, иногда чуть-чуть германские, а в остальном прекрасно.

Подскажу, если ! – нету, то никто не мешает исправить чуть-чуть исходный код. Он открыт, https://git.torproject.org/tor.git

Такой синтаксис не поддерживается поскольку это будет идентично

ExcludeEntryNodes {ru}

Но эту опцию из кода убрали.