id: Гость   вход   регистрация
текущее время 01:28 29/03/2024
Владелец: unknown (создано 14/09/2006 22:50), редакция от 26/06/2012 18:07 (автор: SATtva) Печать
Категории: софт, анонимность, tor, сайт проекта, микс-сети, faq
https://www.pgpru.com/FAQ/Анонимность
создать
просмотр
редакции
ссылки

Сетевая анонимность


!Устаревшая версия документа.
Данный документ был разделён на две части и в текущей редакции устарел. См.
Сетевая анонимность: общие вопросы и Сетевая анонимность: сеть Tor.

Оглавление документа:


По-моему, сеть Tor слишком хороша, чтобы быть безопасной. Может это просто приманка разведслужб? Есть ли смысл государству лояльно относиться к анонимности в сети?

Короткий ответ: мы этого не знаем. Более длинный и точный ответ: это зависит от того, что понимать под "приманкой", для кого эта "приманка" и т.п., то есть вопрос поставлен "некорректно" (не подразумевает однозначного ответа "да" или "нет"). Развёрнутый ответ: самый верный путь — спросить у самих компетентных сотрудников спецслужб что они думают по этому поводу. Нам неизвестно истинное мнение спецслужб, поэтому попытаемся привести ряд общих соображений.


Действительно, есть тенденция и желание запретить гражданам любую анонимную работу в сети, а порой и даже на их собственном компьютере, но, с другой стороны, государство, контролирующее всех, контролирует и себя, но оно тоже имеет желание иногда пользоваться сетью анонимно, и, в частности, это ещё более актуально для шпионов (существует утверждение о том, что анонимной может быть только та сеть, которой пользуется огромное число пользователей с разнообразными информационными интересами). В конечном счёте, для любого государства существование анонимной сети доставляет свои минусы и плюсы, а потому единственно верного для всех случаев и самого оптимального решения не существует.


Вопрос о "приманке" исходит из вопроса о целесообразности со стороны государства терпеть существование подобной анонимной сети. Однако, вопрос о целесообразности не столь однозначен как кажется на первый взгляд.


Tor разрабатывался, создавался и был выполнен как третье поколение проекта "Onion Routing" лаборатории ВМС США для защиты правительственных коммуникаций.


Участники проекта считают, что в существовании такой сети заинтересовано очень большое число социальных и профессиональных групп и слоёв общества:


Рядовые граждане: Провайдеры интернета и вэб-сервисов собирают данные о посещаемых адресах, пользовательских именах, паролях, поисковых запросах и имеют в ряде стран возможность легально торговать такой информацией в маркетинговых целях, если из неё удалены данные о пользователе. Однако такое удаление не всегда бывает полным и часто пользователя можно легко идентифицировать. Корпорации, также имеющие доступ к трафику, теряют записи на носителях и отдают конфиденциальные сведения о пользователях на исследование посторонним компаниям, что приводит к их регулярным утечкам.
Анонимность обеспечивает безопасность детей в сети: в США по IP-адресу в ряде случаев постороннему человеку возможно вычислить не только город, но и улицу проживания, что использовали преступники для выслеживания детей. Также Tor помогает людям чувствовать себя свободнее в обсуждении и исследовании вопросов религии, культуры и общественной жизни, которые могут быть недоступны из-за местной цензуры.


Военные: Размещение многих секретных информационных сервисов в интернет-сети позволяет агентам военных ведомств использовать их в любом месте, где есть интернет и компьютер, а анонимный доступ позволяет скрыть принадлежность людей к такого рода активности.
Целью разработки Интернета агентством передовых оборонных исследований США (DARPA) было создание распределённой сети, устойчивой к ударам. Но некоторые сервисы не могут быть децентрализованы – это штабы и коммандные пункты. Однако обычные интернет-протоколы раскрывают их географическое положение. Для сокрытия их физического местонахождения разработана концепция скрытых сервисов сетей onion-routing.
Сбор разведданных через сеть также должен быть защищён от прослушивания и раскрытия принадлежности запросов к адресам военных сетей.


Журналисты: Журналисты, информаторы, блоггеры и диссиденты используют Tor для защиты от преследования, для распространения материалов о злоупотреблениях в различных сферах жизни общества, доступа к альтернативным точкам зрения.


Сотрудники правоохранительных органов: Использование Tor позволяет им отслеживать подозрительные вэб-сайты, не оставляя своих IP-адресов в логах, для осуществления операций под прикрытием и внедрения своих агентов и информаторов в преступные сообщества.


Активисты и информаторы общественности: Используют Tor для деятельности в области репортажей из опасных зон и в случаях нарушения прав человека. Группы экологов в США, которые подверглись государственной слежке и преследованиям по обвинению в терроризме, также стали использовать Tor для своей активности, которую они считают легальной и полезной обществу. Tor используют анонимные блоггеры и люди в странах с подцензурным доступом к интернету.
Верховный Суд США отменил защиту в отношении госслужащих, делающих утечку информации о злоупотреблениях в ведомствах, для этих целей они также могут использовать Tor. Люди из стран Азии и Африки распространяют сведения о массовой государственной коррупции и рабской эксплуатации. Жители Канады, недовольные действиями властей и корпораций, использовали Tor для доступа к сайту профсоюза, который был заблокирован провайдером, чтобы помешать забастовке.


Высокопоставленные и рядовые люди: Люди ожидают право на частную жизнь. Высокопоставленные или успешные люди имеют доступ к информации, но боятся напрямую её оглашать или заявлять о своих взглядах, так как не могут напрямую что-либо изменить, а могут лишь потерять своё положение в обществе. Другие люди могут быть недовольны системой, но не принимают участие в общественной жизни не из-за игнорирования или апатии, а из-за страха. Простые служащие бояться потерять работу, если выскажут нелицеприятное мнение о своей фирме или руководителях. Беспомощный человек может опасаться жаловаться на социальных работников и систему обслуживания. Анонимность даёт голос самым безголосым и бесправным без боязни навсегда оставить за собой записи в сети.


Бизнес: Интернет-банки экспериментируют с технологями, позволяющими не только шифровать чувствительную информацию от нападающих, но и скрывать топологию сетей, используя анонимный трафик, что важно для управляющих серверов. Исследование рынка конкурентов через интернет позволяет сохранить в тайне бизнес-стратегии.


Конечно, сеть Tor может использоваться и для злоупотреблений, но преступники могут обеспечить себе анонимность незаконными способами — взлом компьютеров, подставные документы, а разработчики проекта Tor считают, что равный баланс анонимности для всех полезнее для общества, что делает его респектабельным в глазах властей, которые могут осознать его необходимость и полезность, превосходящие возможные негативные аспекты.


Неофициальные точки зрения, несвязанные с участниками проекта Tor и высказываемые его критиками или скептиками, часто основываются на том, что возможность анонимного распространения информации служит целям пропаганды, способствует идеологическому и политическому экспансионизму со стороны США по отношению к другим странам, что даёт американцам выигрыш во внешней политике или даже возможность изменить "мировой порядок". Политически ангажированная информация способна, по их мнению, поколебать неустойчивые к таким воздействиям политические системы, которые существуют на строгом сдерживании и ограничениях, в то время как обратная контрпропаганда или распространение внутренних, более независимых общественных движений в самой Америке, якобы не могут изменить собственный политический строй США в силу особенностей его устройства. В этом подозрительно настроенные к проекту Tor люди из других стран усматривают лояльность властей США по отношению к проекту и видят скрытые цели его существования.


Разработчики проекта такие мнения не комментируют и хотя не отрицают возможность использования сети Tor в странах с цензурой Интернета и даже активно изучают и открыто прорабатывают такие вопросы с чисто технической точки зрения, но стараются держаться подальше от политических спекуляций такого рода.


Естественно, что все высказанные мнения так и не дают ответа на поставленный вопрос, как об этом и предупреждалось выше, но они должны помочь читателю взглянуть на поставленную проблему более объективно.

Как мне проверить, что клиент Tor настроен и работает верно?

Достаточно открыть эту страницу, которая определит ваш "внешний" IP (т.е. IP-адрес, видимый внешнему миру) и сравнит его со списком зарегистрированных Tor-узлов.


Если в результате вы получите сообщение "You are NOT using Tor" на красном фоне — это может значить, что ваш запрос пришёл не из сети Tor (возможно ложное срабатывание из-за немного неполной информации о сети Tor у этой страницы); еще раз проверьте свои настройки и убедитесь, что Tor-клиент включен и запросы браузера идут через него. Если же вы увидите сообщение "Your IP is identified to be a Tor-EXIT.", значит, настройки верны, и ваш веб-трафик (по крайней мере какая-то его часть) проходит через анонимизирующую сеть Tor.


Помните, что настроить работу через Tor одним кликом – невозможно. Внимательно читайте инструкции, проверьте настройки приложений, плагины, желательно установить брандмауэр.

При работе некоторых программ в окне с логом Tor'а появляются такие сообщения: "[warn] fetch_from_buf_socks(): Your application (using socks5 on port 5223) is giving Tor only an IP address...". Это опасно?

Такое предупреждение означает, что Tor получает от программы только IP-адрес удалённого сервера. У этого может быть две разные причины.


Если ваша программа не поддерживает протокол socks4a, и в качестве прокси-сервера вы указали в ней непосредственно свой Tor-клиент (по умолчанию, IP 127.0.0.1 и порт 9050), то программа попытается самостоятельно определить IP-адрес запрашиваемого сервера. Скорее всего, для этого она отправит запрос на DNS-сервер вашего интернет-провайдера, получит от него нужный IP-адрес и уже этот IP передаст в Tor. Подобное действие разрушит анонимность вашего соединения, поскольку, прослушивая DNS-запросы к серверу вашего провайдера, можно будет определить, какие веб-сайты вы посещаете через сеть Tor, какими иными службами пользуетесь и т.д. Разумеется, сам провайдер может сделать это, просто просмотрев лог доступа к DNS-серверу.


Чтобы не возникали такие негативные последствия, DNS-запросы от ваших программ тоже должны передаваться через сеть Tor, т.е. анонимно. Для этого необходимо, чтобы а) программа поддерживала работу по протоколу socks4a, и тогда её можно направлять сразу через Tor, либо б) нужно установить локальный HTTP-прокси Privoxy или Proxomitron, направить его на Tor, а в качестве прокси-сервера для приложений указать именно локальный прокси (для Privoxy по умолчанию это адрес 127.0.0.1 и порт 8118), или же в) нужно "соксифицировать" программу, т.е. принудительно направить весь её трафик через socks-прокси (в его роли может быть и Tor) с помощью программы-соксификатора, например FreeCap.


Вторая вероятная причина возникновения ошибки, приведённой в вопросе, в том, что вы указали своей программе удалённый сервер не по URL, а по его IP-адресу. В этом случае Tor также не получает DNS-запрос на определение IP, но лишь потому, что такого запроса не происходит. Указывать программе IP вместо URL может быть полезно, если она, к примеру, не работает с соксификаторами и не использует http-трафик, который можно было бы пустить через Privoxy (для анонимного определения IP полезно использовать утилиту tor-resolve, поставляемую вместе с Tor-клиентом). Несмотря на появление предупреждения в этом случае, такая ситуация не несёт риска для вашей анонимности.

Как мне найти файл настроек Tor'а?

Файл настроек Tor'а называется torrc и находится в следующем каталоге:


  • Для Windows NT/2000/XP:
    C:\Documents and Settings\[UserName]\Application Data\Tor\
  • Для Windows 98/ME:
    C:\Windows\Application Data\Tor\.

При работе через сеть Tor меня постоянно отключает от моего веб-сервиса с требованием повторно ввести логин и пароль. Почему?

Когда вы работаете через Tor, ваш IP, который видят серверы, регулярно меняется. Некоторые веб-сервисы, например, почтовые службы, рассматривают такую смену IP-адреса пользователя в течение одного сеанса работы как попытку взлома (т.н. перехват сессии), отключают пользователя и просят его снова предоставить свои реквизиты доступа, чтобы доказать свою легитимность.


Чтобы избежать этого, вам нужно открыть файл настроек Tor'а и прописать в нём вверху команду TrackHostExits и через пробел – адреса тех сайтов, на которых возникают такие проблемы (это могут быть вообще любые хосты, при соединении с которыми вы не хотите, чтобы Tor переключал цепочки и менял ваш IP); если вводите несколько адресов, разделите их запятыми. Например, если ввести

то постоянный IP у вас будет только на мэйл-сервисе Рамблера; если же указать

тогда IP не будет меняться на любых страницах сайта rambler.ru и на всех его сервисах.


Учтите, что использовать команду TrackHostExits и постоянный IP (в течение сеанса) следует только если работа в ином случае становится невозможной. Пока ваш IP (т.е. выходной Tor-узлел в цепочке, через которую передаётся трафик) остаётся статичным, у противника появляется больше шансов отследить ваше истинное расположение по статистическим показателям работы сети Tor.

Что означает ошибка "[notice] Tried for 60 seconds to get a connection to [scrubbed]:80. Giving up." в логе Tor?

Это значит, что за прошедшие 60 секунд Tor не получил данных от запрошенного сервера и закрыл соединение. Так могло произойти из-за перегрузки этого сервера, из-за проблем на канале связи, а также вследствие изменения топологии самой сети Tor: например, один из Tor-узлов в цепочке, соединяющей вас и удалённый сервер, мог прекратить свою работу. В последнем случае подождите пару минут, пока Tor перестроит цепочку, либо перезапустите Tor-клиент, чтобы принудительно создать новую.


По умолчанию Tor вырезает имя удалённого сервера из лога, заменяя его строкой [scrubbed]:порт. Так делается для того, чтобы если посторонний просмотрит лог, он бы не смог узнать, какие сайты вы посещали. Если вы всё же хотите раскрыть эту информацию в логе, впишите в файл настроек Tor команду SafeLogging 0.

Какой длины цепочки у Tor? И почему? Достаточно ли этой длины для анонимности?

Размер цепочек в настоящий момент составляет 3+ звеньев. Что означает как минимум 3-и звена в цепочке в обычной ситуации, и дополнительные звенья к цепи в отдельных случаях (например когда клиент выбирает exit узел самостоятельно через .exit нотацию или запрашиваемый ресурс находится на одном сервере с рабочим exit узлом Tor).


Размерность в 3-и звена задана жестко в коде программы, и не изменяется через конфигурационные файлы. Причин у этого две: безопасность и производительность.


Три это оптимальная величина, поскольку интерактивная природа TCP, на уровне которого оперирует Tor, создаёт опасность различных атак с пересечением. Эта опасность тем больше, чем больше размер цепочки. Вместе с тем нельзя задать длину цепочки меньше 3-ех без ущерба в анонимности. (см. ответ на вопрос про настоящую анонимность в Сети).


Одновременно по мере увеличения длины, уменьшается производительность как индивидуально — пользователя выбирающего длинный путь, так и в целом всей Tor-сети, поэтому авторы Tor-проекта выбрали именно это число с целью сбалансировать нагрузку и сделать Вашу работу через Tor-сеть наиболее комфортным и безопасным.

Возможно ли удлинить цепочку Tor за счёт дополнительных прокси-серверов?

Если вы используете Tor в связке с Privoxy, то можете добавить один HTTP-прокси после цепочки Tor-узлов. Чтобы сделать это, откройте файл конфигурации Privoxy (Main Configuration), найдите в нём строку вида

и замените точку в конце на адрес нужного прокси-сервера.


Теоретически, программы типа FreeCap и proxychains позволяют выстраивать произвольные цепочки из Socks-прокси-серверов, в которые могут быть встроены и цепочки Tor. Практически, однако, это не всегда возможно (особенно в среде Windows). Если у вас есть реальный успешный опыт, пожалуйста, поделитесь им в форуме или добавьте непосредственно в текст данного ответа.

Как заставить мой трафик выходить из сети Tor в определённой стране?

Имейте в виду, подобная практика не повысит вашу анонимность, независимо от правового режима той или иной страны. Если же вам всё равно нужно это сделать, то:


  1. Откройте какой-либо сайт статистики Tor (к примеру, Xenobyte). В поле сортировки выберите упорядочение по стране (например RU). В результате получите некоторое количество российских exit-узлов (проверьте поле Exit – YES). Если какой-либо никнэйм будет выделен розовым полем, значит, он принадлежит к числу быстрых.
  2. Откройте файл конфигурации Tor и внесите в него:

Вместо nickname1,nickname2, разумеется, подставьте реальные имена узлов.
  1. Перезапустите Tor (в любой ОC) или пошлите сигнал SIGHUP (в юниксоподобной).

Также, вместо правки файла настроек можно передать имя exit-узла прямо в адресной строке браузера:
http://www.website.com.nickname.exit


Если же вы изменили настройки, не забудьте перед возвращением к нормальной работе Tor'а вернуть их в исходное состояние (закомментарить строчки) и снова перезапустить программу. Или запускайте Tor с отдельным конфигом.

Как прозрачно анонимизировать через сеть Tor все соединения в Linux для отдельного пользователя системы?

Допустим, что в системе создаётся отдельный пользователь со своим домашним каталогом коммандой adduser tornet_user. Допустим также, что мы хотим сохранить использование privoxy для тех программ, которые поддерживают этот локальный proxy.


Для запуска графических программ в x-сервере (Xorg) можно использовать скрипт sux (работает только из терминала, запущенного в иксах), для запуска программ из графической оболочки можно также использовать gksu (при этом gksudo не работает, так что придётся каждый раз вводить пароль пользователя перед запуском программы). Например можно создать пункт меню, горячую клавишу или значок с коммандой для каждого приложения:



У программы gksu есть несколько аналогов, но возможно также будут сбои при работе некоторых приложений и потребуется дополнительная настройка.


В конфиг файл tor-клиента (/etc/tor/torrc) необходимо внести опции:



Если версия tor поддерживает эти опции, то после перезапуска tor-демона /etc/init.d/tor restart
должно появиться сообщение вида:



После комманды netstat -pan —inet в работающей сети мы увидим:



Теперь необходимо перенаправить весь исходящий трафик пользователя tornet_user в сеть tor с разрешением DNS запросов через неё же.


Зададим правила файрволла, которые могут выглядеть примерно так:



После перезапуска тор-демона и файрволла можно проверить работу сетевых программ из под анонимизированного пользователя с помощью сниффера на отсутствие утечек DNS.
При этом становится возможной анонимная работа электронной почты и чатов через скрытые сервисы Tor, скачивание с FTP-серверов и т.д.
В тоже время программы, работающие через privoxy, продолжат работать в сети Tor через этот локальный proxy, что может дать дополнительную защиту или функциональность.


Примечание 1: в последних версиях Линукс-файрволла iptables нельзя задавать правило DROP в цепочке nat, что породило проблему с прозрачным локальным проксированием у некоторых пользователей Tor. Временно такое правило работает, но выдаётся сообщение о том, что в следующих версиях iptables оно поддерживаться не будет.


В качестве альтернативы можно использовать заворачивание всего трафика от пользователя на localhost через DNAT:



При этом пакеты, которые не могут быть обработаны сервисами, запущенными на локальном узле (в первую очередь сервисом tor) не уйдут в сеть.


Примечание 2: в системе Debian за сервисом тора закреплён отдельный пользователь debian-tor, так что вместо значения tor-uid можно указывать имя этого пользователя, что лучше, так как его имя в отличие от номера не предполагает изменений.



Проверьте, есть ли в вашем дистрибутиве Линукс отдельный пользователь для Tor, чтобы использовать его в правилах iptables.

Почему Google блокирует мои поисковые запросы через Tor?

Время от времени некоторые безответственные лица используют Tor для поиска через Google уязвимых веб-сайтов (ищутся, к примеру, номера уязвимых версий веб-программ для последующей атаки с помощью эксплойтов). Google поддерживает базу таких подозрительных поисковых запросов, и в случае превышения их числа с конкретного IP, блокирует этот адрес, выдавая в дальнейшем предупреждение, что "ваш компьютер может быть заражён вредоносным ПО, осуществляющим поиск".


Поскольку количество exit-узлов в сети Tor сравнительно невелико, при всплесках подобной активности они практически все оказываются в бан-списке Гугла. Эта блокировка временная, и через несколько часов она автоматически снимается. Иногда помогает переключение exit-узла, если не все они были заблокированы.


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— Гость (03/07/2009 13:27)   <#>
А как средство "донесения антиамериканской пропаганды" он принципиально не работает?
Именно так. В обществе, управляемом денежными знаками, прочие знаки, в том числе слова, не имеют уже почти никакого значения.
— SATtva (03/07/2009 19:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А как средство "донесения антиамериканской пропаганды" он принципиально не работает?

Именно так. В обществе, управляемом денежными знаками, прочие знаки, в том числе слова, не имеют уже почти никакого значения.

Кто-то мне говорил, что мир таков, каким мы сами его делаем. Подумайте, есть ли в сложившейся ситуации и Ваша заслуга.
— Гость (03/07/2009 23:24)   <#>
А как средство "донесения антиамериканской пропаганды" он принципиально не работает?

Теоретически – мог бы, а реально – нет. Скажем так, антиамериканская пропаганда неконкурентоспособна, а потому выиграть может лишь при отсутствии проамериканской (что и было при союзе). Когда есть всё (и то и то), что даёт Tor, исход предрешён. Ну и про дензнаки уже сказали. В кап. мире это решающий аргумент.
— Гость (06/07/2009 11:43)   <#>
есть ли в сложившейся ситуации и Ваша заслуга
Вероятно. Правда, я не уверен, что это следует называть заслугой. Скорее недоработка. Я, например, не сумел переубедить Вас не менять лицензию на материалы, публикуемые на этом сайте. Увы.
— Гость (02/02/2010 15:54)   <#>
1. А что отражает значение AutomapHostsOnResolve, какая функция этого пункта в настройках tor? И поддерживается ли она в новых версиях тор? (У меня, например, v0.2.1.22).
2. Предлагаемые правила iptables , как я понимаю, запрещают входящие прямые соединения с портами 9050 и 53 (общесистемно), а также последние два (если я правильно понял) заворачивают трафик через lo (тоже общесистемно).
Каким образом они совместимы с работой не через тор тех юзеров, которые планируется использовать для незаторенных соединений? Или их нужно только специально включать из отдельного скрипта (или альтернативного конфига) iptables для работы stricty anonimous?!
3. С учетом того, что документ 2006 года, было бы неплохо уточнить или более тщательно прояснить его с точки зрения современных версий iptables (У меня, например, 1.4.2). Как я понимаю, сейчас в NAT нельзя делать DROP? Идти по последнему пути?
4. В Debian я так понимаю пользователь debian-tor служебный, как работать через него как через обычного пользователя? (с последними настройками iptables).
Например, когда даешь команду export TZ=UTC; gksu -w -u debian-tor /usr/bin/iceweasel gksu предлагает ввести пароль этого юзера, а его нет (в /etc/shadow на месте пароля стоит "*"). Не совсем понятно это.
— unknown (02/02/2010 16:21, исправлен 02/02/2010 16:31)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это чтобы запустился слушающий порт для форвардинга трафика и свой локальный DNS


Это чтобы эти порты никто не сканил снаружи. По поводу loopback тоже перестраховка, вроде с этим правилом работало для незаторенных пользователей тоже.


Да, в NAT уже DROP не работает, старые правила можно убрать.


Ни в коем случае ничего не делайте через пользователя debian-tor, он действительно служебный и предназначен только для демона. В примере нужно создать пользователя tornet_user (обычный пользователь системы, которого предполагается торифицировать) или назовите его сами как хотите. Пользователь debian-tor (тот, который служебный) в данном примере нужен только для того чтобы файрволл отличал трафик tor-демона, а не торифицированного пользователя, если вы что-то поменяете, чтобы в него можно было логиниться (что само по себе соверешенно неппонятно для чего), то нарушите безопасность системы!


Возможно вы перепутали смысл этих двух разных пользователей (второго вы добавляете в систему для своей "заториваемой" работы сами) из-за похожего названия.

— Гость (02/02/2010 20:26)   <#>
Насколько соотносятся с вышеприведенными правилами нижеуказанные правила iptables, имеющиеся у меня в конфиге, надо ли их менять, если нет – где надо ставить вышеприведенные правила? (в смысле можно ли их поставить вниз конфига или их надо ставить выше каких-то правил?):

P. S. Прошу прощения за ламеризм, я немного разобрался в iptables, но самое главное не могу понять, как располагать правила, т.к. как как я понимаю, если предыдущее правило с целью "АССЕРТ" пакет нормально прошел, то он на последующих не фильтруется, и поэтому туплю.
— Гость (02/02/2010 20:29)   <#>
Пользователь debian-tor (тот, который служебный) в данном примере нужен только для того чтобы файрволл отличал трафик tor-демона, а не торифицированного пользователя

Правило заменяет или дополняет правила, касающиеся tornet-user?
Если заменяет, то я тогда не совсем понимаю смысл в отдельном tornet-user'е.
— unknown (02/02/2010 21:36, исправлен 02/02/2010 21:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

дополняет.
Отдельный tornet-user — это тот, которого вы собираетесь "торифицировать" (т.е. все программы, запущенные из под этого юзера будут завёрнуты в tor). А цепочка RETURN для возврата пакета в предыдущую цепочку для debian-tor — т.е. трафика, который уже завёрнут в tor и того, который генерит собственно tor.


Не надо же торифицировать всю систему, а чтобы можно было переключаться между пользователями — анонимным и неанонимным.


Хорошо, что вы отмечаете неясности изложения FAQ. Возможно этот раздел следует доработать, чтобы понимать не только что делать, но и почему так и зачем именно так. Хотя подразумевалось, что тот кто созрел до идеи прозрачной торификации готов сам понять идею про разных пользователей и интересуется только как между ними переключаться и настройками tor и iptables. Данный вариант — один из многих возможных.


В официальный Tor-FAQ эти рекомендации даже не включены, они вынесены как отдельные примеры, упоминались как iptables/ipfw hacks в рассылке и в актуальном состояниии на сайте торпроекта не поддерживаются.

— unknown (02/02/2010 22:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


да, это принцип приоритета цепочек в iptables

Насколько соотносятся с вышеприведенными правилами нижеуказанные правила iptables, имеющиеся у меня в конфиге, надо ли их менять, если нет – где надо ставить вышеприведенные правила? (в смысле можно ли их поставить вниз конфига или их надо ставить выше каких-то правил?):


Лучше всё-таки разобраться в iptables до такой степени, чтобы иметь возможность переписать весь конфиг с нуля по любому своему желанию, а то как бы чего не вылезло.

Не всегда легко отыскать возможную ошибку просто посмотрев на конфиг.

Иногда приходится экспериментировать с правилами, смотреть вывод iptables -L, временно включать в правилах LOG и т.д.
— Гость (02/02/2010 23:08)   <#>
>как я понимаю, если предыдущее правило с целью "АССЕРТ" пакет нормально прошел, то он на последующих не фильтруется

да, это принцип приоритета цепочек в iptables

Т.е., прошу прощения, представленные выше правила для торификации отдельного юзера должны быть применительно к моему конфигу

до правила, разрешающего все установленные соединения, а то все установленные соединения не через tor будут разрешены и пакеты не будут проходить фильтрацию по указанным правилам? (тем, которые касаются таблицы фильтрации, ессно, а не nat).

Лучше всё-таки разобраться в iptables до такой степени, чтобы иметь возможность переписать весь конфиг с нуля по любому своему желанию, а то как бы чего не вылезло.

Очень бы хотелось. К сожалению, в Интернете нахожу лишь какие-то краткие руководства (из одного из которых был взят мой конфиг :), правда его пришлось творчески переработать, потому что он был для компьютера являющегося одновременно рутером), а вот чего-то подробного, и в то же время доступного, типа содержательного учебника или руководства, с наглядными примерами, найти не получается... Если подскажите, буду очень признателен. Или по крайней мере поделитесь своим опытом изучения iptables, если конечно еще не забыли.
— unknown (03/02/2010 08:54, исправлен 03/02/2010 08:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Opennet, нет?

— Гость (03/02/2010 10:41)   <#>
1) Команда позволяет запускать бразуер торифицированного юзера под иксами, под которымизалогинен другой юзер.
Это удобно, но насколько это безопасно и может ли повлечь угрозы анонимности?
2) В Debian по умолчанию не задана переменная TZ, вопрос решается как-то по другому (к сожалению, еще не разобрался как):

Будет ли работать в Debian первая часть команды? (т.е. будет ли бразуер восприниматься как работающий в таймзоне UTC)?
И, кстати, что означает в настройках TB "маскировать пользователя tor"? Эта маскировка не включает в себя подмену информации о таймзоне?
— Гость (03/02/2010 11:05)   <#>
Это удобно, но насколько это безопасно и может ли повлечь угрозы анонимности?
Если говорить совсем строго, то иксы – одна из самых дырявых компонент в базовой ОС, и было много воплей того же Teo, к примеру, по этому поводу. Из этих соображений настоятельно рекомендуется не ставить иксы на боевые сервера.

Была длинная история с dri (drm?) в иксах [не помню аббревиатуру хоть убейте], которая в итоге позволила изолировать иксы от базовой ОС так, чтобы дыра в первых автоматически не дырявила всю систему. В итоге это позволило работать с запущенными иксами при securitylevel=3. В Linux было наверняка что-то подобное, но не в курсе. Кто лучше знает историю, пусть расскажет, а то я боюсь всё переврать.

Так что вы правы, при прочих равных самое слабое – это запускать в одних и тех же иксах приложения от разных пользователей. Можно улучшить положение дел, запустив один иксы как "основные", а в них назапускав с помощью Xnest кучу "гостевых" иксов – каждые под своего пользователя. Ещё лучше – просто повесить разные иксы на разные дисплеи (разные xdm'ы например), и логиниться раздельно для основного и для Tor-юзера. Это максимум, что можно сделать на единственной машине, используемой и для обычного, и для Tor-юзера.

Эта маскировка не включает в себя подмену информации о таймзоне?
Вроде бы включает. Причём таймзона выставляется та же, что и у выбранного на данный момент эксита, как мне показалось.
— Гость (03/02/2010 11:26)   <#>


Почему же, когда я пишу в блог, у меня обычно время (мое реальное) определяется правильно, и очень редко – какое-нибудь американское и т.п.?
(Хотя я не исключаю, что я там в своей юзеринфе указал реальный город моего пребывания, поэтому возможно настройка времени выполняется у них на сервере не по моему браузеру, а по сохраненным у них данных).
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3