openPGP в России

— Гость_ (21/10/2016 22:59)   

Лучше свои, провайдерские, но ещё лучше – не использовать никаких и весь UDP запретить. Тору для работы ни UDP, ни DNS не нужны.


Отлично, товарищ. Теперь мы знаем твой IP. Спасибо, что пинганул и потом отписался об этом на форуме.


Если есть возможность, лучше использовать статику и для ISP и для локалки, а не городить DHCP, который ходит мимо сетевого экрана.

— Гость_ (21/10/2016 23:04)   

Не можно, а нужно. Точнее, при правильном инсталле он вообще не должен был установиться в систему.


Помимо него^[link4] нужен ещё какой-то тунель поверх, на нерасшифровываемость WPA2 полагаться нельзя.

— Piano (21/10/2016 23:08, исправлен 21/10/2016 23:10)   

Млин, Гость_, ну зачем вы влезли именно сейчас? Я снова не могу редактировать предыдущий пост, а там остались ошибки.

Потерпите уж все, пока я не закончу первый этап писанины, о чем сообщу отдельно, а потом будем решать возникшие вопросы.

Но поскольку вы уже влезли, отвечу, что об IP, который я указал, не имею малейшего понятия :) Поскольку вбил его от балды – опыт старого сетевого параноика не пропьешь :))

Avahi был преустановлен в системе разработчиками.
По DNS – понятно, UDP, статику и туннели обсудим несколько попозже.

— Piano (21/10/2016 23:14, исправлен 21/10/2016 23:15)   

12. Конфигурируем NAT

---

12.1 Добавляем внизу конфига /etc/sysctl.conf строку -

12.2. Для немедленной активации запустить

12.3. Для создания сетевой трансляции между сетевым интерфейсом eth0 и wifi-портом wlan0
запускамем команды:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

12.4. Проверяем полученные таблицы командами:

получаем -

-P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE

и

получаем -

-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i wlan0 -o eth0 -j ACCEPT

12.5. Чтобы эти действия происходили при перезагрузке, выполняем команду:

— Piano (21/10/2016 23:19, исправлен 22/10/2016 00:07)   

Кое-что из упущенного:

– дефолтовый логин/пароль для PI:
pi/raspberry

– полезно сразу установить:
mc
htop
screen
chkconfig

– сервис, который лучше сразу отключить –
bluetooth

— Piano (22/10/2016 00:08, исправлен 22/10/2016 00:12)   

Сервисы Raspbian Jessie 8 на текущий момент:

# chkconfig --list alsa-utils 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on avahi-daemon 0:off 1:off 2:on 3:on 4:on 5:on 6:off bluetooth 0:off 1:off 2:off 3:off 4:off 5:off 6:off bootlogs 0:off 1:on 2:on 3:on 4:on 5:on 6:off bootmisc.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkroot-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkroot.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on console-setup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on cron 0:off 1:off 2:on 3:on 4:on 5:on 6:off dbus 0:off 1:off 2:on 3:on 4:on 5:on 6:off dhcpcd 0:off 1:off 2:on 3:on 4:on 5:on 6:off dphys-swapfile 0:off 1:off 2:on 3:on 4:on 5:on 6:off fake-hwclock 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on hostapd 0:off 1:off 2:on 3:on 4:on 5:on 6:off hostname.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on hwclock.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off isc-dhcp-server 0:off 1:off 2:on 3:on 4:on 5:on 6:off kbd 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on keyboard-setup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on killprocs 0:off 1:on 2:off 3:off 4:off 5:off 6:off kmod 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on motd 0:off 1:on 2:on 3:on 4:on 5:on 6:off mountall-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountall.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountdevsubfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountkernfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountnfs-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountnfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on netfilter-persistent 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on networking 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on nfs-common 0:off 1:off 2:off 3:off 4:off 5:off 6:off ntp 0:off 1:off 2:on 3:on 4:on 5:on 6:off plymouth 0:off 1:off 2:on 3:on 4:on 5:on 6:off plymouth-log 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on procps 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on raspi-config 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on rc.local 0:off 1:off 2:on 3:on 4:on 5:on 6:off rcS 0:off 1:off 2:off 3:off 4:off 5:off 6:off rmnologin 0:off 1:off 2:on 3:on 4:on 5:on 6:off rpcbind 0:off 1:off 2:off 3:off 4:off 5:off 6:off rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off screen-cleanup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on sendsigs 0:off 1:off 2:off 3:off 4:off 5:off 6:off ssh 0:off 1:off 2:on 3:on 4:on 5:on 6:off sudo 0:off 1:off 2:off 3:off 4:off 5:off 6:off triggerhappy 0:off 1:off 2:on 3:on 4:on 5:on 6:off udev 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on udev-finish 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on umountfs 0:off 1:off 2:off 3:off 4:off 5:off 6:off umountnfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off umountroot 0:off 1:off 2:off 3:off 4:off 5:off 6:off urandom 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on

— Piano (22/10/2016 00:13, исправлен 22/10/2016 00:55)   

13. Приступаем к тестированию полученной точки доступа.
Хм, пункт получился 13-й – так оно и оказалось :(

Планшет точку видит, коннектится, но никак не может от нее получить IP-адрес.
Видимо, что-то с DHCP.

Уже нашел одну ошибку в адресе: в п.5 вместо

option routers 192.168.42.1;

должно быть

option routers 192.168.200.1;

Но это все равно не помогло.

Далее меня заинтересовало содержание конфига, взятое из оригинального мануала, которое гласит:

source-directory /etc/network/interfaces.d auto lo iface lo inet looback iface eth0 inet dhcp allow-hotplug wlan0 iface wlan0 inet static address 192.168.200.1 netmask 255.255.255.0

т.е. получается, что etho получает адрес по DHCP.
Так оно и есть – eth0 получает у меня 192.168.1.101

На всякий случай, для надежности, переделал его на статику:

source-directory /etc/network/interfaces.d auto lo iface lo inet loopback # iface eth0 inet dhcp iface eth0 inet static address 192.168.1.50 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 192.168.1.1 8.8.8.8 auto eth0 allow-hotplug wlan0 iface wlan0 inet static address 192.168.200.1 netmask 255.255.255.0

но и это не помогло наладить получение IP-адреса WiFi-клиентами.

Более того – PI по Ethernet стал откликаться сразу на 2 адреса –
– на тот же динамический 192.168.1.101
– и на статический 192.168.1.50

Это уже мне уже совсем непонятно :(
Возможно, что-то в устройстве PI мне еще неизвестно.

---

На этом пока остановливаюсь и жду ваших советов, пока только по проблеме получения IP-адреса WiFi-клиентами.

После ее решения продолжу повествование.

— Гость_ (22/10/2016 00:55)   
Ещё раз говорю: заведите документ в черновиках и редактируйте, сколько влезет. Комментарии – не место для редактируемых инструкций. Тем более, размазывать одну вещь по десятку коментов не нужно.


NAT для тор-шлюза тоже не нужен.


Если вы делали то, что пишете, 77.88.55.66 – IP яндекса.


Спасибо, что дали всем знать ваши прошитые в железе и едва ли изменяемые параметры. Если ваше железо попадёт когда-либо на эксперитзу, нагулив эти MAC- и IPv6-адреса, она с удовольствием подошьёт ваши комментарии в сети к делу.

— Piano (22/10/2016 01:09, исправлен 22/10/2016 02:13)   

Документ заведу в черновиках, когда будет что редактировать.
А пока идет сбор, накопление информации и ее обсуждение с вами всеми с целью создания работоспособного Howto.

Поэтому как раз здесь это удобнее всего делать.
Когда получится создать полностью рабочий Howto – тогда и перейду в вики-раздел для его окончательного оформления.

NAT для тор-шлюза тоже не нужен.

Вон как? Т.е. вы предлагает использовать его как мост?
Тогда какого ж ... эти разработчики его подсунули?

Что теперь из черновика исключить – весь раздел 12?

По поводу засвеченных hw-адресов как-то особо не волнуюсь.
Да, есть такие адреса, но кому они принадлежат – хз, поскольку неизвестно, кто есть я.
Тем более что ключевая фраза здесь – "Если ваше железо попадёт когда-либо на эксперитзу", что вряд ли, поскольку не собираюсь на нем совершать противоправные действия, наоборот – защищаться от посягательства на частную жизнь известными методами, которые (пока) законодательством не запрещены.
Когда "пока" закончится, сделаю на нем медиаплеер :)

Да, так что делаем по проблеме раздачи адресов клиентам?
Она пока упорно не решается.

— Гость_ (22/10/2016 21:36)   

Вы упорно не понимаете назначение черновиков. Они и есть для того, чтобы складывать черновые наработки в одном месте, редактируя их хоть по тысяче раз. Когда документ более-менее готов, он может быть перемещён из ченовиков в библиотеку^[link5].


Не мост, а SOCKS-прокси. Тор на RP слушает на портах на локальном IP, на эти порты посылают трафик клиенты. Правда, придётся всех либо принудительно, либо штатно соксифицировать, но обычно проблем с этим нет. Альтернатива (дырявая и не такая надёжная) – прозрачная проксификация/торификация, и это опять не NAT. Это редирект. NAT делается для обычных домашних сетей обычных домохозяек, это случай прозрачной пересылки трафика из локалки в интернет без какой бы то ни было анонимности.


Всё исключить, выбросить все рекомендации из сети и самому переписать заново с умом, но вы ж не осилите, а другим это неинтересно.


Лень разбирать этот комбайнер.

— Piano (22/10/2016 22:35, исправлен 22/10/2016 22:43)   

Лень разбирать этот комбайнер.

Жаль, жаль. А как все хорошо начиналось! :)
Для других отмечу, что "разбирать этот комбайнер" не требуется, поскольку он логически не отличается от системы на PC, т.е тот же Debian и все прочее.
Поэтому если бы на PC было готовое такое решение – Howto для Tor-шлюза с раздачей по WiFi, то оно практически без изменений могло быть перенесено на PI.

но вы ж не осилите, а другим это неинтересно.

Конечно не осилю. Но может найдутся те, кому интересно заменить для Tor прожорливый шумный ящик на экономичную бесшумную и крохотную коробочку.
Я ведь не только ради одного себя здесь столько старался, поскольку надеялся, что именно на этом форуме найдутся заинтересованные желающие сделать Tor на чем-либо другом, кроме стандартного PC.

Подожду еще немного таких желающих. Не найдутся – что ж, придется сделать на нем медиаплеер или еще какую-нибудь полезную вещицу.

— loginuser (23/10/2016 08:04)   
надо рестартить сервисы после правки конфигов.
и минутное гугление дало аналогичные мануалы, вот на хабре пример^[link6].

— Piano (23/10/2016 21:44, исправлен 23/10/2016 22:14)   

надо рестартить сервисы после правки конфигов.

Даже перегружал систему :) но это не помогает, причина глубже.

и минутное гугление дало аналогичные мануалы, вот на хабре пример.

Есть у меня и эта статья, и не только она.
Но кто даст гарантию, можно ли им верить? Писак нынче много развелось всяких, но их профессиональный уровень под вопросом.
Взялся к примеру, я за мануал (вернее, скопище манулов) от Onion Pi, так Гость_ тут же его забраковал.
Не зря ведь я разместил будущий Howto не на каком-нибудь сборище балаболов как на ЛОР, а именно на pgpru.com, где присутствуют специалисты по безопасности.
Присутствуют, да, но к сожалению, их лень сильнее креативного желания что-нибудь сделать ;)

Может, их надо заинтересовать? На сайте красуется призыв "Сделайте денежное пожертвование через Bitcoin, WebMoney, Яндекс.Деньги", так я готов пожертвовать 2000 рублей тому известному здесь специалисту, кто сделает полноценное хавту.

— Piano (24/10/2016 00:15, исправлен 24/10/2016 00:16)   

Молчите? Ну-ну. Так и быть, переброшу эти малину на другой трудовой фронт – сделаю медиа-центр, совмещенный с торент-качалкой. Тем более все для это его есть, достаточно подключить к USB внешнний HDD-карман и можно юзать.

А Tor-шлюз, видимо, придется сооружать на OpenWrt или еще на чем-то таком ходовом.
Как раз подвернулась заметка об интересном Tor-проекте PORTAL^[link7].
Позабавило, что это не просто Tor-шлюз, а еще (если правильно понял) и генератор случайной болтовни Bananaphone, еще больше маскирующий и запутывающий истинный трафик пользователя :)

— Гость_ (24/10/2016 13:06, исправлен 24/10/2016 13:11)   

Wi-Fi в силу своей исконной закрытости крайне геморрогичен. Тестировать надо на связке ПК-ПК без планшетов, выставляя согласованные параметры на обеих концах связи. Если iwconfig на клиенте показывает статус connected/associated, то дальше можно назначать вручную IP и проверять сеть. Если всё это прошло, можно отлаживать DHCP. Когда всё отлажено, можно заменить ПК-клиент на планшет-клиент, где с диагностикой проблем существенно хуже. Никто так не делает: запустить всё сразу и начать ломать голову, почему кобмайн не работает.

Верно, но ваш затык не в RP, а в Linux/UNIX как таковом.

Как вы сами сказали, RP здесь не принципиален.

Хороший вопрос. :)

На лоре в силу размера аудитории, бывает, проще получить ответ по узкоспециализированным вопросам. Когда гуглишь интересные темы, поисковик иногда выкидывает на лор, где даются направления, в какую сторону копать для решения задачи. Какой бы хороший специалист ни был тут, он не может объять всё необъятное. Linux – очень обширная тема, и многие вопросы, так сложилось (например, детальный аудит событий в ОС), здесь никогда не обсуждались.

Во-первых, не имея на руках железа тестировать образ на виртуалках – отдельная боль. Во-вторых, написание пошагового руководства с отладкой может занять не один день. В-третьих, различайте добровольные взносы в проект и оплату чьей-либо работы. Специалисты, обеспеченные заказами и/или постоянным местом работы, если им только не нужно это хауту для них самих, не будут тратить несколько дней своего времени за 2k рублей. Цены на такие услуги начинаются со 100 € за рабочий день.

Там много проблем. Первая проблема – установить минимальный линукс, где нет ничего лишнего. При всей кажущейся очевидности это не такая простая проблема, если вы ещё не съели зуб на разных инсталляторах и не понимаете, какие грабли повсюду раскиданы, что и как надо отключить, а что установить. Нигде вы полного списка действий, оптимизированного под анонимность, не найдёте, никто его не выписывал. Вторая проблема – вам нужен корректно настроенный сетевой экран. Тщательно написать и продумать правила – тоже нужно время, и там тоже много подводных камней. Пока всё это делается, может возникнуть третья проблема: Wi-Fi, DHCP, какие-то хардварные глюки, и это тоже отнимет время.

Нельзя перепрыгнуть через необходимый минимум. Вы сначала осваиваете Linux, учитесь настраиваете простые примеры и конфигурации, осваиваетесь с командной строкой и шеллом, а только потом переходите к настройке критических к безопасности систем. Нельзя сразу сесть на одноколёсный велосипед и поехать по канату, как циркач – сначала надо научиться ходить, потом бегать, потом ездить на обычном велике. Никто не пишет "хавту" по операциям на сердце. Деталей много, всего не учтёшь. Тот, кто использует how-to, должен понимать, что он делает и почему. How-to – оно в помощь, чтобы сэкономить собственный мозг, а не замена мозгам и знаниям.

Если вы вообще не понимаете, например, iptables, какую безопасность вы хотите получить слепо копируя строчки с чужих конфигов? Либо вам специалист преднастраивает готовую коробочку и говорит: вот сюда вотните провод, пропишите такие-то настройки у себя, и ничего не трогайте (это примерно то, что вы изначально хотели), либо вы делаете это сами, но с пониманием. Сами и без понимания – не получится, будет только самоуспокоение и ложное чувство защищённости.

Специалисты тоже ошибаются, у каждого за плечами десятки примеров глупых дыр, которые он у себя оставил и забыл про них, а что вы тогда хотите от себя и остальных? Весь современный софт – тяжёлый сложный многофункциональный и глючный комбайн, который разрабатывался тысячами людей на протяжении не одного десятилетия. Вам понадобится существенное количество времени, чтобы достаточно хорошо понять устройство только одной какой-то подсистемы и только текущей её версии (в следующих обязательно всё сломают), а таких подсистем безумного много, и все их них надо на каком-то уровне понимать.

Вообще, ни один вменяемый специалист не даст вам гарантий отсутствия ошибок в настройке, вероятность их наличия всегда выше нуля. Любой крупный проект (включая тор и PGP) – это, в том числе, история эпических факапов с фатальными уязвимостями. Никого они не обошли стороной. Кругом стандартный security theater в той или иной степени.

— просто_Гость (24/10/2016 20:44, исправлен 24/10/2016 20:44)   

Есть у меня это коробка. Руки не доходят настроить. На сайте есть готовые прошивки и под Tor тоже.

— Piano (25/10/2016 00:29, исправлен 25/10/2016 00:44)   

Млин, меня уже начинают напрягать ваша пространная беллетристика, м-р Гость_
Как тратить время на написание каких-то академических нравоучений на пол-экрана, так пожалуйста!
Как сделать что-то практически полезное – так то лень, то времени мало, то денег.
Остальные хоть благоразумно помалкивают, помятуя поговорку: "Не учите меня жить, лучше помогите материально практически".
Вообще, умнейшие люди на этом актуальнейшем все больше напоминают павианов, распушивших перья, кичясь громадными познаниями друг перед другом, но как доходит до практического дела – так (см. выше).
Да, всякие академические вики пишутся и складируются, но толку от них массовому пользователю?

Сегодня уже некогда, потому что получил помощь откуда не ждал, и есть уже первый успех, который сейчас вкушаю.
Причем достиг его за каких-то полчаса и бесплатно!!! (в отличие от дней, которые пока напрасно потратил здесь на уговоры).
Просто есть ресурсы и люди с другим, креативным подходом.
Завтра будут подробности, и пусть вам будет стыдно, академики вы наши...

PS. SAtva, а вам должно быть стыдно уже сейчас – во что превратился сайт под вашим предводительством? Какое-то запустение и затхлость. Жаль!
Ах, да, чуть не забыл – иногда еще юмор здесь мельтешит. Может, пора сайт переименовать?

— Гость_ (25/10/2016 01:54)   

Во-первых, зарубите себе на носу: здесь никто никому ничем не должен. Всё, что кто-либо делает, делает по собственному желанию в свободное время. Это не стол заказов и не коммерческий call-центр, где ждут не долждутся ваших новых проблем, чтобы их героически всем миром за вас решать. Об этом в разное время разными словами здесь писало многие люди: 1^[link8], 2^[link9], 3^[link10].

Во-вторых, я регулярно настраиваю что-нибудь под себя, поэтому знаю, сколько времени это отнимает. С "академическими нравоучениями на пол экрана" это не идёт ни в какое сравнение. В-третьих, практически полезных инструкций на сайте столько, что хоть одним местом ешь, но вам они не нравятся, потому что своей объёмностью страху нагоняют^[link11]. Вы упорно пытаетесь найти лёгкое решение сложных проблем, да ещё за чужой счёт, но таких решений нет.


Вы с meticulous^[link12] не братья, случайно? Мне интересно, если бы вы обратились на лор, хабр или куда там сейчас популярно и поставили такую задачу, каков был бы результат? Вам тут же назначили бы постоянного консультанта, который не отходя от клавиатуры в тесном общении с вами решает ваш вопрос и по итогам пишет подробное how-to размером со статью? Или вам просто кинули бы ссылку вида "смотри туда, делается как-то так"? Что-то я не припомню, где бы писали развёрнутые how-to в ответ на вопросы.

Исключение – stackexchange и т.п. сайты, но для этого вопрос должен быть достаточно популярным и общим, а не таким, как у вас. Там могут отдельно обсудить проблемы Wi-Fi, проблемы DHCP или iptables, но нет такого, чтоб человек пришёл с желанием собрать комбайн, каждая часть которого ясна и хорошо описана в сети, а проблема только в том, что изучить эти части ему лень, и даже сформулировать чётко ядро проблемы (что именно не работает) без лишних подробностей – тоже лень, он просто выкидывает в тред поток сознания с непонятной копипастой и начинает кричать, что это не работает, разберитесь почему. На такие вопросы отвечать и там никто не будет.


Горим со стыда. Тушите.

— Piano (25/10/2016 02:20, исправлен 25/10/2016 02:22)   

Отмазки "это все бесплатно, поэтому вам ничего никто не должен" слышу уже лет 10 – это позволяет вам и им подобным ничего не делать.
Завтра покажу вам, как другие люди делают по-настоящему полезные дела.
А может и нет – у меня тоже времени мало, но я его тратил здесь, пока не стал убеждаться, что взываю к стенке.

Да, чуть не забыл. Ваше предложение использовать Tor-прокси:

Не мост, а SOCKS-прокси

совершенно неинтересно ввиду необходимости заниматься соксификацией для некоторых приложений.
Tor-шлюз должен быть прозрачным, и десктоп даже не должен догадываться, что работает через Tor.

А насчет зарубите – вы сами зарубите (или отрубите) себе что-нибудь, а другим не указывайте.
Я до этого с вами вежливо разговаривал, но вы, оказывается, не переносите критику.
Однако стоило ли вам демонстрировать свои эмоциональные проблемы?

— Гость_ (25/10/2016 10:58)   

А по сравнению с вами? Я потратил некоторое время, чтобы набрать для вас ряд простыней, разбирая ваши заблуждения, но пока ничего интересного не узнал для себя из ваших комментариев.


Все должны быть вам очень благодарны за то, что вы им позволили потратить своё время на вас?


Про эту необходимость я сказал сразу, а интересно или нет – зависит от конкретного случая.


Прозрачное проксирование имеет грабли в виде утечек пакетов в сеть. Что там на самом деле происходит и почему – тёмный лес. Вторая проблема – разведение разного софта по разным цепочкам тора. Пускать всё через один поток плохо для анонимности, т.к. ведёт к излишнему смешению разных профилей. В некоторых частных случаях всем этим можно пренебречь. Таков ли ваш слуай – не имею понятия, но, скорей всего, не таков, поэтому – вперёд, набивать шишки.


Не задавайте вопросы, что и как вам настраивать – не будете получать ответы, что вам делать. Всё просто. Хамство в ответ на потраченное на вас время – достойная компенсация, как я вижу, поэтому дальше давайте сами.

— гыук (25/10/2016 11:37)   
Я думал здесь руклодство на 2 страницах.. Нууу..

Piano

Вы ж собирались установить Whonix-шлюз на Rpb. Чегойто передумали?
Зачем повторять "подвиг" Onion Pi?
В шапке не разглядел как планируется использовать сабж. Откуда инет и как клиенты подключаются?
ТЗ какое?

— Piano (25/10/2016 21:44, исправлен 25/10/2016 21:51)   

Я думал здесь руклодство на 2 страницах.. Нууу..

Напишешь тут с такими икспертами, как же!

Вы ж собирались установить Whonix-шлюз на Rpb. Чегойто передумали?

Я не передумал. Планы у меня, так сказать, многоплановые – интересует и то, и другое, и третье.
Но прежде всего – заключить свои шпионские Андроиды в золотую клетку, т.к. полагаю, что от самый большой вред с точки зрения утечек.
Из-за этого, купив недавно шикарнейший смартфон, 2 месяца пользуюсь им только в автономе, не выпуская сеть, запихивая на него софт сугубо на флешке.
А все потому, что нет готовой технологии & хавту, как это сделать.

Но помощь пришла, и совсем не от pgpru, копал сам.
По порядку:

1. Сначала Нашел инетереснейший проект **PORTAL**^[link7]
Однако он оказался заброшен^[link13]

2. Далее выяснил, что на известных крохотных китайских роутерах семейства GL-iNet, содержащих 2 Ethernet-порта и 1 Wifi, давно клепают готовые прошивки с Тором!^[link14]
И разумеется, бесплатно, никого ни о чем просить и кланятся не надо.
Соответственно два роутера
GL-iNet 6416A 150 Мбит/С 802.11 /b/g/n^[link15] уже едут ко мне.

3. Но и это не все. На сайте о роутерах Keenetic, где люди занимаются реальными делами (а не плодят мало кому полезные бумаги), наше замечательную статью Tor на Keenetic^[link16].
У меня как раз был Keenetic. И при всей моей малограмотности в ваших криптографических и сетевых премудростях, мне хватило:
– полчаса, чтобы поднять Tor на Ethernet;
– примерно столько же на подъем Tor на WiFi.

И я впервые вышел на Андроиде в Сеть под Тором!!!
Вам не понять, как это было для меня важно и как оно меня обрадовало.

Поэтому я аплодирую стоя таким как TheBB, которые делают отличные легко воспроизводимые хавту от людей и для людей!
И думаю, он не одинок в своем понимании, что реально нужно большинству обычных пользователей, да и любых других пользовтелей, которым не нужны нотации от снобов, а нужны готовые решение.

Конечно, вы можете найти массу недостатков в данном решении, но это в сущности все, на что вы способны, вы даже этого не можете.

PS. Столько бился головой о непрошибаемую стену PGPRU.COM, а решение, оказывается, было совсем рядом – достаточно было щелкнть мышкой по другой, полезной ссылке!

— гыук (25/10/2016 22:21, исправлен 25/10/2016 22:25)   

Правда схему подключения устройств я так и не понял как вы хотите организовать. Есть несколько вариантов, которые в одной из тем озвучивались. Я помню )

Рано остановились, нужно было поставить альтернативную прошивку, типа Цинагена мод (прошу прощения что по-русски). Там все вырезано.

Так и продолжайте это делать дальше. Даулодеров apk в сети хватает.

Вы слишком быстро покупаете устройства. Нужно было спросить какое лучше выбрать (у меня например )))

просто_Гость (24/10/2016 20:44, исправлен 24/10/2016 20:44) писал же:
"На сайте есть готовые прошивки и под Tor тоже."

Причем на сайте есть другие продукты. Вы смотрели?

Можно было сделать лучше. Есть роутеры, которые "из коробки" умеют ВПН.
На каждом устройстве проксируете трафик через Tor. На выходе получаете tor-трафик обернутый в ВПН.

Можно было установить альтернативную прошивку с рутом и пакетом Orbot проксировать весь трафик устройства. Причем по хорошему отпаять модуль GPS.

"Не сотвори себе кумира".

Стартапов по tor-роутерам было немало, но только где они реальные?
Наводит на мысли.. Народу у нас нечего скрывать, что в переводе означает – "мне похрену что за мной следят. я сам все выложу о себе в контакте."
Исходя из данных опроса центра Ливада, в России 3/4 населения счастливы ("И мы счастливы" © Дом2).

— Piano (25/10/2016 23:16, исправлен 25/10/2016 23:20)   

Рано остановились, нужно было поставить альтернативную прошивку, типа Цинагена мод (прошу прощения что по-русски). Там все вырезано.

У меня Xiaomi Redme, и для него китайцы создали очень большую проблему – чтобы получить возможность смены прошивки, нужно им написать, и не факт, что на просьбу они ответят положительно – фифти/фифти.
Но и сам Cyanogen – может ребята и старались выпилить зловредов, но не факт, что нечаянно что-то пропустили.
Так что Tor по-любому нужен.

Так и продолжайте это делать дальше. Даулодеров apk в сети хватает.

Это да, но например, одно из приложений для своей работы затребовало установить с плеймаркета какие-то "Google сервисы".
Ну и как же их установить их в автономе? Я даже не знаю, что там сервисы будут, это же только общее, мало о чем говорящее название.

Можно было установить альтернативную прошивку с рутом и пакетом Orbot проксировать весь трафик устройства.

Раньше так и делал, но этот Orbot такой Orbot... глючит по черному. И не очень верится ему, хотя сам Tor-проект его запилил.
Поэтому снова клоню с того, с чего начал – отдельный Tor-шлюз.
Кстати, когда заполучил по WiFi от Зикселя вожделенный Tor, и начал тестить на нем андроидные браузеры.
Дефолтовый браузер под крайне оригинальным названием "Интернет" по сервису 2ip.ru подтвердил работу по Tor, но в то же время обнаружилась утечка по DNS какого-то левого прова, даже не знаю такого.

Поэтому поставил настоящий торовский браузер OrFox.
Но он, дурачок, сходу затребовал Orbot, а настройках OrFox вообще не было настроек на произвольный прокси.
Разработчики, оказывается, не подозревают, что кроме Orbot, могут быть другие, внешние прокси.
Еще есть похожий браузер OrWeb, на 4pda дистра не нашел, но скорее всего, и он работает только с Orbot.
Так с андроидными браузерами для Tor уже есть проблема.

Вы слишком быстро покупаете устройства. Нужно было спросить какое лучше выбрать (у меня например )))

Спрашиваю :) Еще не поздно отменить заказ.

Причем на сайте есть другие продукты. Вы смотрели?

Смотрел. Вот тут они все^[link17] для Glinet.
Какие именно вы имеет в виду?

Можно было сделать лучше. Есть роутеры, которые "из коробки" умеют ВПН.

Можно. Вопрос только – кто? Неужто на pgpru найдутся такие? :lol:

"Не сотвори себе кумира".

Согласен. Но говорю же, по настоящему обрадовался – ведь впервый вышел под внешним Тором с Андроида!
Хотя бьюсь на этим вопросом стыдно даже сказать сколько.

Стартапов по tor-роутерам было немало, но только где они реальные?

Гм, как это ни странно, у меня тот же вопрос :-P

— гыук (26/10/2016 00:19, исправлен 26/10/2016 00:24)   

Думаю и для него найдутся инструменты.
Cyanogen не единственная прошивка. И аргументы, типа, "кто то что там забыл где то выпилить" сразу опустим, как бесперспективные.

Можете благополучно скачать с того же 4Pda

Ну Гугл же со всеми вытекающими.

Слабоватый аргумент. Нормально работает, особенно на рутированном аппарате. Без рута он кастрирован просто.
Вопрос доверия опускаем, как бессмысленный.

На сайте нираз обсуждались особенности прозрачной торификации, а именно это вы, практически, и будуте делать. Почему? Потому что, через шлюз у вас будет идти весь трафик всех устройств, а может и что то "прольется" мимо.
Поэтому вариант: Общий ВПН и отдельный Tor на каждом устройстве, предпочтительнее.

Опять же, что мешает прописать в роутере иной ДНС, нежели провайдера. В устройствах так же можно менять, даже на смартфонах.
Опять же не забывайте про https://dnscrypt.org/, который можно установить на все устройства.

Вообще он от guardianproject и одобрен torproject.

Все правильно, а как он пойдет через Тор? В свое время в ТВВ была Vidalia.
В ТВ настраивать сторонние прокси никому (наверно) не придет в голову, а Orfox чем провинился?
Что вас тянет в раритетный Orweb? Там даже вкладка всего одна и он то, как раз, не очень корректно работал с Orbot (часто показывал что не в Тор).

Вы выбрали "старую"/"простую" модель. Там ведь есть и альтернатива Зикселю.

Их уже сделали производители. В штатной прошивке есть настройки как серверной части, так и клиентской в зависимости от задач.

— Piano (26/10/2016 01:18, исправлен 26/10/2016 01:36)   

Вы меня немного не поняли, а я вас :)
Освежим вопросы:

Думаю и для него найдутся инструменты.

Я специально изучал этот вопрос, и выяснил, что для Xiaomi Redme дело обстоит именно так: без разрешения китайцев дальше никак. Инструменты идут потом, после получения разрешения.

Cyanogen не единственная прошивка.

Вообще-то никогда не слышал, что существуют прошивки, из которых выпилено лишнее для блага безопасности информации.
Cyanogen, говорите? И он специально создавался для этой цели, или это просто побочный эффект?

И аргументы, типа, "кто то что там забыл где то выпилить" сразу опустим, как бесперспективные.

Но ведь это же правда. И приходится этот фактор учитывать, дабы случайно не вляпяться.

Слабоватый аргумент. Нормально работает, особенно на рутированном аппарате.

Именно под рутом. Приходится его раз 20 пинать, прежде чем он соизволит запуститься. Дохнет без предупреждений.
Это одна из веских причин заменить кучу Орботов на каждом аппарате на один централизованный стабильный Tor-шлюз.

Опять же, что мешает прописать в роутере иной ДНС, нежели провайдера.

Я же подчернул – левого провайдера, не моего, поэтому непонятно откуда он его взял.
Если бы DNS был от моего провайдера – тогда было бы понятно, откуда он взялся.

Все правильно, а как он пойдет через Тор?

Да очень просто – надо было оставить в браузере настройки на прокси, как во всех нормальных браузерах.
И тогда можно было было бы выбирать Tor – локальный или внешний.
Но разрабы выбросили их, и это глупость.
В TBB, к счастью, они пока сохранены, видно, руки еще не дошли.

Кстати, эти искусственно созданные проблемы с прокси еще раз намекают на то, что Tor-шлюз должен быть прозрачным, а не в виде прокси.

Что вас тянет в раритетный Orweb?
Orfox чем провинился?

Да не тянет вовсе, просто пробую все подряд, что заработает с внешним Tor-прокси.
Пока не заработало ничего, включая OrFox (в нем тоже нет насртоек на прокся), кроме штатного и пооэтому дырявого браузера.

Вы выбрали "старую"/"простую" модель. Там ведь есть и альтернатива Зикселю.

Не понял эту фразу. Сказали А, говорите уж и Я. Зиксель я не выбирал, он у меня давно, просто статья хорошая попалась – как раз для Зикселя, поэтому и пустил его в дело.
Но это временно, жду ведь пока Glinet, я-то думал, что вы о них говорите и посоветуте что-то лучше их.

Их уже сделали производители. В штатной прошивке есть настройки как серверной части, так и клиентской в зависимости от задач.

Как-то неконкретно. Какие производители, какие прошивки, сцылки?...

Поэтому вариант: Общий ВПН и отдельный Tor на каждом устройстве, предпочтительнее.

На словах пока не понимаю его преимуществ. Картинку бы понятную кто нарисовал бы, что ли.
Может, он и лучше, но "отдельный Tor на каждом устройстве" уже достал изрядно, каждой железяке его подавай и настраивай.
Поэтому пока двигаюсь к варианту централизованного шлюза, по крайне мере он имеет одно огромное преимущество: один раз настроил – и забыл.
Нельзя же всю жизнь посвящать этим всяким Торам, есть дела и поважнее.
Tor – всего лишь один из инструментов для обечпечения безопасности.
Почему роутер можно один раз настроить и забыть даже где он лежит, а Tor-шлюз нельзя?

— Piano (28/10/2016 18:39, исправлен 28/10/2016 19:33)   

гыук, куда же вы слились? Я все жду ваших ответов. Или вы всё?......
Вышеупомянутый роутер для Tor таки заказал, не дождавшись обещанной от вас лучшей модели.

Кстати, наметился определенный успех в андроидных Tor-браузерах.
Оказалось, что OrFox, в отличие от других подобных, реагирует на волшебный призыв about:config, и более того – в нем есть настройка на socks-прокси!
Правда, пока почему-то не срабатывает "Прокси-сервер отказывается принимать сообщения".

Пару пинков вашему любимому Orbot.
На одном старом планшете у меня стоял этот Orbor, чтобы серфить по OrWeb под Тором.
И еще на нем стоит Opera для обычного серфинга. Так вот она постоянно падала – за час раз 10 или больше. Я уже и не знал, чего делать, уже подумывал прошить новый Android.
Так вот, когда снес этот Orbot, то Opera перестала падать. Вообще!
Хотя Opera никак не использовала этот Orbot.
Вот вам и доказательство, что во-первых, он кривой и влияет на что ни попадя, во-вторых, Tor должен быть отдельным глобальным шлюзом – одним для всех (а не на каждом устройстве своя кривая хрень).

И вот еще – нашел великолепное Howto^[link18] для создания прозрачного Tor-шлюза!
Великолепное, потому что выполнил его – и все заработало с первого раза!
Только не на Kali Linux, а на обыкновенном Debian 8.
Может поэтому обнаружилась одна проблемка – торифицируется всё – обновление, определение IP по curl, крме одного – браузера, и это странно.

— гыук (28/10/2016 20:23)   

Не pgpru единым жив человек.


Они сами много кого спрашивают, когда свой джим ваяют, почему то очень похожий на Х5. Вы за гарантию боитесь или что?


Вот еще^[link19]
Вы пишите как в передачу "Что, где, когда". Вся ж инфа в открытом виде, а не участник проекта, что бы давать инсайдерскую инфу.
Кое что о проекте^[link20]


Такое замечено при использовании в сотовой сети. Понятно, думается, почему.


Это в каких браузерах для Агндроид есть настройки прокси?
Я вам писал про gurdianprogect.info. Зайдите на их сайт и найдете там разный софт, в то числе дополнение к FF proxymob^[link21]. Пользуйтесь, только зачем...


Это не проблемы и никто их не создавал. Вы все приложения перелопатили на Маркете?


Воспользуйтесь поисковиком. Это же просто, тима "роутер с openvpn".
Mikrotik вполне может из коробки, причем их ОС можно запихать в виртуалку и сделать шлюзом (просто инфо).
Про прошивки OpenWRT и DDWrt нет смысла и писать, все знают.


Загляните на torproject.org.


Оперой давно не пользуюсь. Будете использовать шлюз с usb-модемом в мобильном режиме, исотрия будет повторяться. Это сотовая связь виновата.


Первый раз слышу от вас, что Orbot конфликтует с какими-либо приложениями.


Причем тут он? Эта система направлена в первую очередь проверку сетевой безопасности. Слабо себе представляю ее в ежедневном использовании.

— Piano (28/10/2016 20:47, исправлен 28/10/2016 21:31)   

Вы за гарантию боитесь или что?

Нет, конечно, у меня ее при покупке на Ali и так нет. Просто после покупки апарата внимательно прочел на 4pda описание лишения его девственности, и понял, что шансов почти нет, поэтому и не брался.
Если хотите, найду ссылку, чтобы вы убедились в проблеме.

Вся ж инфа в открытом виде, а не участник проекта, что бы давать инсайдерскую инфу.

Видимо, вы тут пропустили местоимение "я".
гыук, информации по этому, да и по другим вопросам в самом деле настолько много, что найти полезное из нее просто физически проблематично. Так что спасибо за полезные ссылки.
Насчет инсайдерской инфы – не стоит уж так тщательно соблюдать законность :)
Как известно с петровских времен "Строгость российских законов компенсируется необязательностью их выполнения" :lol:

Такое замечено при использовании в сотовой сети. Понятно, думается, почему.

Почему – понятно. Но я НЕ использую сотовую для Интернета.
Кроме того, условия не именились – только удалил Orbot, и падения прекратились.

> как во всех нормальных браузерах.
Это в каких браузерах для Агндроид есть настройки прокси?

Под "нормальныыми браузерами" я имел в виду как раз Не-андроидные.

Я вам писал про gurdianprogect.info. Зайдите на их сайт и найдете там разный софт, в то числе дополнение к FF wwwproxymob. Пользуйтесь, только зачем...

Действвительно, не понимаю зачем. Я ищу всего лишь аднроидный браузер без утечек, вроде TBB для PC, чтобы тоже была возможность выбора прокси (а не с жесткой завязкой на OrBot).
(кстати, у меня не открывается ни ваш www.gurdianprogect.info, ни www.gurdianproject.info)

Это не проблемы и никто их не создавал.

Именно что создали. Все браузеры, начиная с древнего Netscape 1.0, имели настройки прокси.
Умники от Android, решили, что все пользователи кухарки и выбросили эту настройку.
А если, по-вашему, это не проблема, то как мне настроить OrFox на внешний Tor-прокси? Я настраивал, но не работает.

Вы все приложения перелопатили на Маркете?

В процессе. А вы можете уже что-то подсказать, кроме Orfox, который мне пока не удается запустить с внешним Tor-прокси?

Первый раз слышу от вас, что Orbot конфликтует с какими-либо приложениями.

Что обнаружил – о том и написал. Инфа 100%.

> Только не на Kali Linux,
Причем тут он? Эта система направлена в первую очередь проверку сетевой безопасности. Слабо себе представляю ее в ежедневном использовании.

Вы меня не поняли. Я Не использую Kali Linux. Я просто взял Howto от него и применил его на обычном Debian 8 лишь потому, что Kali Linux тоже построен на том же Debian 8 (за исключеним состава прикладного софта).
Поэтому не удивительно, что его Howto сработало.

Еще раз о Cyanogen. После вашего замечания, что у него выпилено все лишнее, долго Гуглил, изучая его. Действительно, в ней даже можно настроить доступ приложений к небезопасным функциям (типа сообщат о своем местоположеннии или давать доступ к телефонным контактам) по своему вкусу.
Но мой вопроос звучал шире:

Вообще-то никогда не слышал, что существуют прошивки, из которых выпилено лишнее для блага безопасности информации.

Просто выпиливать, например, чтобы убрать всякие шашечки и рюшечки, заодно увиличив быстродействие – это одно.
Выпиливать с целью получения безопасной (с точки зрения утечки информации) защищенной андроидной системы – совсем другое.
Для этого нужно не только выпиливать, но и чем-то дополнительно оснащать, причем не просто навешивать антивирусы и файрволы, а копать глуже, в архитектуре.
В данных вами двух ссылках не ни намека на эту благородную цель, просто выпиливание лишнего и все. Я тоже подобного не нашел.
А я-то надеялся, что существует некий железобетоный Андроидный OpenBSD :)

— гыук (28/10/2016 23:16, исправлен 28/10/2016 23:19)   

А ссылка wwwproxymob. работает ))) Я описался конечно. Это же вектор а не директива.

Причем здесь Андроид/Гугл?

Я привел ссылку на сайт, где приведены 6 rom, как варианты и альтернативы Cyanogenmod.
Мне кажется вы слишком много требуете от сообщества. Спрос порождает предложение, т.е. видимо нет нужного % спроса, чтобы возникло предложение – это раз.
Второе, это то что тема мобильных приложений еще так молода, а средства так ограничены, что... рано еще.

Это ваш "ориентир"? Почитайте,например, на opennet.ru какой там срач на тему NetBSD 7.0.2, FreeBSD 11.0 и Linux.
Что лучше "старая" (отсутствие новаторст, как результат надежность) Тайота или "глючные" немцы (потому что вводят все новое, как следствие разгребают отказы функционала)?

— Piano (28/10/2016 23:35, исправлен 28/10/2016 23:38)   

Да, ссылка "proxymob" работает, но вопрос был о другой ссылке – www.gurdianprogect.info. Ну да фиг с ней.

Что-до OpenBSD. Давно не смотрел новости по ней, но ни NetBSD, ни FreeBSD, ни тем более Linux не имют отношения к ней – у них совершенно разные цели, и OpenBSD стоит особняком.
Так что не знаю, о чем там срач по ней и есть ли он по OpenBSD вообще, хотя на Опеннете бываю регулярно.

Насчет "много требую" – ну я так бы не сказал, скорее прошу и надеюсь, но сам сделать увы, ничего не умею, кроме повторения чужого хавту – я же просто пользователя, как милионны других, и не боюсь в этом признаться, у меня есть свой предел в понимании IT, который позволяет только ориентироваться в этой сфере и использовать чужие решения.
Впрочем, как большинтво других пользователей – селяви.
Да и сообщество разработчиков в целом далеко не глупое, даже совсем наоборот, но поворачивается к нуждам пользователей медленее, чем хотелось бы, а к параноикам типа меня и подавно :)

— гыук (29/10/2016 13:11, исправлен 29/10/2016 13:17)   

Вот вам картинка Tor через VPN^[link22]

Многократно приводимая ссылка на torproject.org^[link23]

— Piano (29/10/2016 21:22, исправлен 29/10/2016 22:54)   

Картинка намого понятнее и сразу все поясняет в отличие даже от многостраничной подробной писанины :)
Правда, художник разместил Провайдера почемут сбоку, это странно.
По идее он должен стоит посредине, ведь ВЕСЬ трафик обязательно прохдит через него.

Самое муторное в этой схеме – это поиск VPN-провайдера.
Как к нему только не подступайся – надо платить, т.е. светить свои денежные реквизиты – прощай, анонимность!
Конечно, можно найти провайдера, принимающего битки (хотя по большому счету и они не анонимны, разве что тоже пропустить через Tor).
Поднимать свой VPN-сервер – снова искать, только хостера, а ему тоже нужно платить, поэтому тоже – см. выше.

Но самое фатальное в этой схеме – VPN-сервер всегда знает ваш IP
– какая уж тут анонимность? Может, я неправильно понял эту схему, но вы же всегда поправите, даже если я прав :lol:

Что до "многократно приводимой ссылки", то она, к сожалению, для меня бесполезна, как и все на Торе, поскольку на английском. а гугловский перевод мало что дает для понимания.
Помнится, когда-то на Торовском офсайте был русскоязычный раздел, но куда он переместился или есть ли он теперь вообще, непонятно.

---

Теперь специально просвещу вас насчет разблокирования Xiaomi.
Вот замечательная ссылка^[link24], из которой я понял только то, что нужно послать запрос китайцам, сложить лапки и смиренно ждать.
Ключевая фраза – "ожидание до 2-х недель это нормально".
На 4pda пересказано почти слово в слово, только добавлено, что китайцы могут ответить, а могут и нет – как им вожжа под хвост попадет, они нам в этом вопросе ничего не должны.

Конечно, я допустил ошибку, купив залоченный аппарат, потому что он было гораздо дешевле нормального.
Но продавец заверил, что с разлочкой проблем не будет, есть инструкция. Тогда я не стал вникать в нее – на английском же, а когда апапрат пришел и начал изучать вопрос детально – взялся за голову :(
Еще в разлочке вроде участвует SMS, я а приниципиально не хочу ставить на него симку или включаться в Интернет – буду эксплуатировать только в автономе.
Надо было брать аппарат дороже, но без этих проблем.
Теперь фиг на него что поставишь, а уж да, захотелось установить ваш чистый и светлый Цианоген ;)

А это вообще, извиняюсь, жопа^[link25]

Одного не пойму – зачем китайцы их блочат и создают такие трудности пользователям?

— гыук (30/10/2016 13:42)   

Показано правильно.


Ничего фатального. Такого рода точек в сети полно. Расставляйте по степени угроз и принимайте решение, как вы будете организовывать работу в сети.


Это делают не только китайцы. Общепринятая форма заключения контракта с ОПСОС, где вам продается телефон с дисконтом, а вы обязуетесь, например, обслуживаться у него 3 года с ежемесячной абонплатой 300$ и иными обязательствами.

— Piano (31/10/2016 00:23, исправлен 31/10/2016 00:23)   

Так это совсем другая залочка – не от ОПСОСов, а от смены прошивки.
Впрочем, не важно, и то, и то плохо.

— loginuser (03/11/2016 17:42)   

впервый вышел под внешним Тором с Андроида!

Я вот тут задумался, а что собственно дает заворачивание трафика Андроид в Тор? Имхо, в случае с Андроид какого-либо положительного эффекта от использования смартфона в целом нет. Какой смысл в использовании Тор-роутера для смартфона на Андроид?

И по сабжу два вопроса:
1. в файле /etc/tor/torrc есть строка VirtualAddrNetwork 172.16.0.0/12. Правильно я понимаю, что это какой-то универсальный конфиг Тор? Просто в моем случае eth1 192.168.1.0/24 а wlan0 172.24.1.0 и причем тут 172.16.0.0/12 в настройках Тор не совсем понятно.. но все работает.
2. Трафик с клиентов wlan0 заворачивается в Тор всего двумя правилами:
iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040
Если я тут все правильно понимаю, то все tcp соединения клиентов wlan0 идут через Тор, днс запросы udp тоже через Тор. А как со всем остальным, например, udp трафик (который не днс) в Тор уже не будет заворачиваться?

— гыук (09/11/2016 20:36, исправлен 09/11/2016 20:50)   

Перечитал несколько раз. Ничего не понял.

Чтобы помимо нужного трафика, всякая хрень, лезущая в инет, шла через Tor.

Смотрел в разных местах (системный; ТВ) и не нашел такую строку. Что т о я не тем пользуюсь.. или вы взяли где то такой torrc.
https://www.torproject.org/docs/tor-manual

Если мне не изменяет память, то прозрачное торифицирование невозможно сделать без проксификатора/соксификатора. Так что одними правилами iptables не обходится.

— loginuser (10/11/2016 22:28, исправлен 10/11/2016 22:33)   

> Имхо, в случае с Андроид какого-либо положительного эффекта от использования смартфона в целом нет
Перечитал несколько раз. Ничего не понял.

Да, ошибся, вместо смартфона надо было написать "Тора".

> Какой смысл в использовании Тор-роутера для смартфона на Андроид?
Чтобы помимо нужного трафика, всякая хрень, лезущая в инет, шла через Tor.

Мобильные ОС и более чем 99% софта для него – это зонды. Какая разница как пойдет их трафик, если в самом трафике уже все есть, и конечная точка, куда этот трфик идет, и сами данные в трафике Тор не изменит.

> в файле /etc/tor/torrc есть строка VirtualAddrNetwork 172.16.0.0/12.
Смотрел в разных местах (системный; ТВ) и не нашел такую строку. Что т о я не тем пользуюсь.. или вы взяли где то такой torrc.

Да, и по этой ссылке есть строка: When providing proxy server service to a network of computers using a tool like dns-proxy-tor, change the IPv4 network to "10.192.0.0/10" or "172.16.0.0/12"

> Если мне не изменяет память, то прозрачное торифицирование невозможно сделать без проксификатора/соксификатора. Так что одними правилами iptables не обходится.

Вот Мануал в середине раздел с таким минимумом: Anonymizing Middlebox^[link26]

To enable the transparent proxy and the DNS proxy, add the following to your torrc.

VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.1.1
DNSPort 5353
DNSListenAddress 192.168.1.1

Use the iptables ruleset below as an example.

#!/bin/sh

# Tor's TransPort
_trans_port="9040"

# your internal interface
_inc_if="eth1"

iptables -F
iptables -t nat -F

iptables -t nat -A PREROUTING -i $_inc_if -p udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A PREROUTING -i $_inc_if -p udp --dport 5353 -j REDIRECT --to-ports 5353
iptables -t nat -A PREROUTING -i $_inc_if -p tcp --syn -j REDIRECT --to-ports $_trans_port

и это работает

— Гость_ (12/11/2016 23:42)   

По ссылке warning крупными буквами в нескольких местах не просто так написан. Тор можно совсем отключить и пустить трафик напрямую, это тоже "работает".

— loginuser (15/11/2016 21:06, исправлен 15/11/2016 21:08)   

По ссылке warning крупными буквами в нескольких местах не просто так написан. Тор можно совсем отключить и пустить трафик напрямую, это тоже "работает".

Гость_, спасибо за ваше замечание, оно мне очень помогло, все действительно работает.