Outpost Firewall конфликтует с Tor-ом – [решено]


Озаботился я вопросами анонимного серфинга и начал эксперименты с программами соксификаторами: FreeCap, ProxyCap, HttpPort, SocksChain и Tor.

Проблема заключаеться в том что после установки тора у меня стали блокироваться сетевые приложения – Опера, IExplorer. Джаббер сервис, не загружаються страницы.
Переключил я политики в режим "обучения" чтоб создались типа новые правила, не помогает, в упор не видит запросов браузеров, а когда переключаешь в "Разрешить" или добавляешь приложения в "доверенные" – все работает.
Пробовал я пересоздавать новую конфигурацию и даже переустановил фаерволл то же самое.
Только после переустановки выдавал пару сообщений на браузер что типа "Приложение не являющееся сетевым просит доступ к DNS" и запрос на создание правила такого вида : " Приложение лезет в сеть на удаленный адрес 127.0.0.1 порт 1643, протокол UDP ". Причем разов 5 только номер порта немного отличался, с каких это пор 127.0.0.1 стал удаленным адресом?
Повыключал все внешние модули, снимал галочки со всех системных правил в настройках ничего не помогает. Взял удалил все эти программы соксификаторы вместе с тором, проверил автозагрузку, системные службы, нигде ничего лишнего- ноль эффекта, видать где то остался еще системный драйвер который колбасит так систему. Взял чистый винт, набил с нуля систему поставил Tor – точно он виноват.
В общем мне нужен совет по настройке правил Outposta для браузеров работающих не под Тором и для Firefox c TOR – ом, или хотя бы как найти этот драйвер поганец чтоб вернуть все назад.

Ну и подробнее о системе и конфигурации:

В журнале заблокированных есть странные записи вида; " iexplore.exe ВХОД БЛОКИРОВАНО UDP удаленный адрес 172.16.0.1. удаленный порт DNS. причина – Использован кэш DNS".
Мы сидим в локальной сети с фиксированными адресами вида 172.17..* .
Выходим в интернет через прокси 172.16.0.1
команда ipconfig -all определяет его как DNS сервер.

P.S. Я тут полазил на форумах и так понял шо не работает DNS резолвинг. Насколько я понял принцип работы браузера – он сначала обращаеться к DNS серверам по протоколу UDP, получает от них IP адрес подключаемого узла и только потом посылает TCP пакеты на коннект с сервером сайта.
Поскольку запросов на создание правил TCP не поступало я так подозреваю что затык получаеться на этапе общения с DNS.

Комментарии
— Serghan (14/05/2007 03:27)   

В Outpost Firewall выходящим трафиком управляет функция AntiLeak и Контроль Компонентов. Скорее всего неправильно сконфигурированы настройки.

В Agnitum Outpost Firewall Pro 4-й версии разработчики проделали большую работу для упрощения использования Firewall'а, при правильном обращении в режиме обучения проблем возникать не должно.

На первом этапе использование у меня тоже возникало много проблем, ну потом разобрался и всё фонтан.

Outpost использую около года, очень доволен, удовлетворят все мои критерии безопасность в O/S Windows.
— SATtva (14/05/2007 09:49)   
Добавьте Tor в список приложений пользовательского уровня Outpost и установите для него следующий набор правил:
  1. Разрешить исходящие TCP на удалённые порты 80, 443, 8080, 9000-9100.
  2. Разрешить входящие TCP на локальные порты 9000-9100.
  3. Запретить исходящие.
  4. Запретить входящие.

В управлении Anti-Leak Tor вообще светиться не должен. У меня это полностью рабочая конфигурация.
— ygrek (14/05/2007 10:56)   
1. Зачем так ограничивать исходящие? Операторы серверов ведь могут настроить порты как угодно. У меня в outpost'е стоит просто "разрешить все исходящие для Tor".
2. Входящие для Tor'а нужны только если он работает как сервер.

ЗЫ А все эти AntiLeak'и и прочие рюшки/плагины у себя отключил. Память жрут, куча ложных срабатываний.
— SATtva (14/05/2007 11:35)   
1. Это основные стандартные OR-порты. Просто не люблю, когда программа лезет, куда ей хочется.
2. У меня скрытые сервисы без входящих не открываются. Может делаю что-то не так?
— Лыжи_асфальт (14/05/2007 13:08)   
SATtva, если в общих правилах разрешен localhost, но правила для приложения имеют больший приоритет перед общими, то при запрете входящих должны перестать работать не только скрытые сервисы но и все механизмы OP Tor'а.
— ygrek (14/05/2007 13:36, исправлен 14/05/2007 13:40)   
Работают скрытые сервисы. HiddenWiki[link1] открывается. В правилах для Tor'а – только allow outbound – больше ничего. Общий режим – block most. Для чего клиенту для доступа к скрытым сервисам могут быть нужны inbound'ы? Кто может знать ваш IP чтобы установить входящее соединение – только первый узел в цепочке. Зачем? Незачем! :) Вообще это очень интересно – в Network activity что показывается?
— Serghan (15/05/2007 00:09)   
SATtva, при такой конфигурации Firewall'а троян смог бы украсть данные с вашей машины и послать их анонимно куда угодно.

Троян мог бы использовать TOR в качестве прокси чтобы отправить данные и при этом остался бы незамеченным c стороны брандмауэра.

Возьмите какое-нибудь приложение, например IE пропишите в качестве прокси 127.0.0.1:8118 убедитесь в том что в Firewall'е нет никаких активных правил для IE и попробуйте ввести в адресной строке какой-нибудь существующий URL, IE отобразит соответствующую страницу.

При том что для него нет никаких активных правил.
— ygrek (15/05/2007 07:22, исправлен 15/05/2007 07:28)   
При том что для него нет никаких активных правил.

Это как будто-бы можно отрегулировать в общих свойствах – "разрешить локальные соединения".
— SATtva (15/05/2007 11:39)   
SATtva, при такой конфигурации Firewall'а троян смог бы украсть данные с вашей машины и послать их анонимно куда угодно.

Это не проблема конкретной конфигурации брандмауэра для Tor'а (описанный Вами трюк можно провернуть и на Linux, если заразить систему трояном). ygrek решение уже описал: просто закрыть умолчальный доступ к loopback-интерфейсу и разрешать его только доверенному ПО.

По поводу моей истории со скрытыми сервисами. Похоже, я их давно не посещал: при попытке доступа процесс Tor'а просто тихо завершается без каких-либо ошибок. Проблему решает корректировка указанного выше правила
  1. Разрешить входящие TCP на локальные порты 9000–9100.
на
  1. Разрешить входящие TCP на локальные порты 9000–9100 с удалённого адреса localhost.

Однако, без разрешения входящих соединений скрытые сервисы на самом деле недоступны. Вот какое срабатывает правило:

В браузере при этом (спустя несколько секунд после попытки перейти по ссылке) вылетает ошибка 503.
— unknown (15/05/2007 12:53)   
с удалённого адреса localhost

Оксюморон?
— ZENDER_117 (15/05/2007 13:33)   
Так подскажите как теперь настроить правила для браузера, тор вместе с привокси я удалил, а изменения внесенные им остались. До установки тора у меня было всего 2 правила для браузера:
TCP>исходящее>удаленный порт 80-83 (браузер вообще без настроек- explorer)
TCP>исходящее>удаленный адрес172.16.0.1>удаленный порт 3129 (настройки выхода браузера через наш ISP proxy: использовать прокси 172.16.0.1:3129, не использовать прокси для 127.0.0.1)-настройки рекомендуемые провайдером.
Теперь с этими правилами ни один браузер не идет под фаерволлом и самое странное что не создает новых правил автоматически, даже после переустановки.
Я в этих дела еще новичек и вручную что то настроить не получаеться.
Дайте пожалуйста ответы на следующие вопросы:
1. Почему после удаления тора и привокси все не вернулось в прежнее состояние? Может какие то компоненты тора не удалились и как их найти и удалить.
2. Подскажите правила, как теперь вручную настроить outpost с учетом того что мне надо выходить в сеть через наш локальный прокси провайдера 172.16.0.1 порт 3129?
В глобальных правилах я смотрел нет правил для loopback по умолчанию.
— ZENDER_117 (15/05/2007 14:50)   
Нашел поганца который колбасил мне систему это программа NetLimiter, просто я ее ставил следом за тором и че то грешил на него.
Эта программа я так понял создает локальный прокси сервер и клиент на компе, в результате я так и не понял суть проблемы, почему оутпост не видит запросы браузеров из под этой программы.
После удаления этой тулзы правила сразу определились и все заработало.
— SATtva (15/05/2007 16:08)   
с удалённого адреса localhost

Оксюморон?

Хех, точка зрения. :-)

Так подскажите как теперь настроить правила для браузера

Да браузер вообще трогать не обязательно, для него Outpost может всё автоматом настроить. Privoxy доступ в сеть вообще не нужен. Настроить нужно только Tor.

После удаления этой тулзы правила сразу определились и все заработало.

Слава богу.
— ygrek (16/05/2007 10:28)   

Однако, без разрешения входящих соединений скрытые сервисы на самом деле недоступны. Вот какое срабатывает правило:


Ничего не понимаю. А что за программа на порту 2520?
Обращаюсь к HiddenWiki. В логах зафиксированы такие соединения :
– от браузера к привокси
– от привокси к tor-у
– от tor-а наружу
– и один раз от tor-а к tor-у (причём прошло по правилу allow outbound tcp, а не allow local tcp conn). Наверное вот этом соединении и трабла..

ЗЫ Когда делаю обычный запрос то никаких входящих к tor-у кроме privoxy не наблюдается.
— unknown (16/05/2007 13:18, исправлен 16/05/2007 13:25)   
Вообще то входящий без запроса трафик (т.е. NEW, а не --state ESTABLISHED, RELATED) нужен только для запущенных серверов, а не клиентов (любых, не только tor). Так например, tor-клиент может спокойно работать за файрволлом, при этом все скрытые сервисы будут доступны.

Ссылки
[link1] http://6sxoyfb3h2nvok2d.onion/tor/