Outpost Firewall конфликтует с Tor-ом – [решено]
Озаботился я вопросами анонимного серфинга и начал эксперименты с программами соксификаторами: FreeCap, ProxyCap, HttpPort, SocksChain и Tor.
Проблема заключаеться в том что после установки тора у меня стали блокироваться сетевые приложения – Опера, IExplorer. Джаббер сервис, не загружаються страницы.
Переключил я политики в режим "обучения" чтоб создались типа новые правила, не помогает, в упор не видит запросов браузеров, а когда переключаешь в "Разрешить" или добавляешь приложения в "доверенные" – все работает.
Пробовал я пересоздавать новую конфигурацию и даже переустановил фаерволл то же самое.
Только после переустановки выдавал пару сообщений на браузер что типа "Приложение не являющееся сетевым просит доступ к DNS" и запрос на создание правила такого вида : " Приложение лезет в сеть на удаленный адрес 127.0.0.1 порт 1643, протокол UDP ". Причем разов 5 только номер порта немного отличался, с каких это пор 127.0.0.1 стал удаленным адресом?
Повыключал все внешние модули, снимал галочки со всех системных правил в настройках ничего не помогает. Взял удалил все эти программы соксификаторы вместе с тором, проверил автозагрузку, системные службы, нигде ничего лишнего- ноль эффекта, видать где то остался еще системный драйвер который колбасит так систему. Взял чистый винт, набил с нуля систему поставил Tor – точно он виноват.
В общем мне нужен совет по настройке правил Outposta для браузеров работающих не под Тором и для Firefox c TOR – ом, или хотя бы как найти этот драйвер поганец чтоб вернуть все назад.
Ну и подробнее о системе и конфигурации:
В журнале заблокированных есть странные записи вида; " iexplore.exe ВХОД БЛОКИРОВАНО UDP удаленный адрес 172.16.0.1. удаленный порт DNS. причина – Использован кэш DNS".
Выходим в интернет через прокси 172.16.0.1
команда ipconfig -all определяет его как DNS сервер.
P.S. Я тут полазил на форумах и так понял шо не работает DNS резолвинг. Насколько я понял принцип работы браузера – он сначала обращаеться к DNS серверам по протоколу UDP, получает от них IP адрес подключаемого узла и только потом посылает TCP пакеты на коннект с сервером сайта.
Поскольку запросов на создание правил TCP не поступало я так подозреваю что затык получаеться на этапе общения с DNS.
Ссылки
[link1] http://6sxoyfb3h2nvok2d.onion/tor/
В Outpost Firewall выходящим трафиком управляет функция AntiLeak и Контроль Компонентов. Скорее всего неправильно сконфигурированы настройки.
В Agnitum Outpost Firewall Pro 4-й версии разработчики проделали большую работу для упрощения использования Firewall'а, при правильном обращении в режиме обучения проблем возникать не должно.
На первом этапе использование у меня тоже возникало много проблем, ну потом разобрался и всё фонтан.
Outpost использую около года, очень доволен, удовлетворят все мои критерии безопасность в O/S Windows.
Добавьте Tor в список приложений пользовательского уровня Outpost и установите для него следующий набор правил:
В управлении Anti-Leak Tor вообще светиться не должен. У меня это полностью рабочая конфигурация.
1. Зачем так ограничивать исходящие? Операторы серверов ведь могут настроить порты как угодно. У меня в outpost'е стоит просто "разрешить все исходящие для Tor".
2. Входящие для Tor'а нужны только если он работает как сервер.
ЗЫ А все эти AntiLeak'и и прочие рюшки/плагины у себя отключил. Память жрут, куча ложных срабатываний.
1. Это основные стандартные OR-порты. Просто не люблю, когда программа лезет, куда ей хочется.
2. У меня скрытые сервисы без входящих не открываются. Может делаю что-то не так?
SATtva, если в общих правилах разрешен localhost, но правила для приложения имеют больший приоритет перед общими, то при запрете входящих должны перестать работать не только скрытые сервисы но и все механизмы OP Tor'а.
Работают скрытые сервисы. HiddenWiki[link1] открывается. В правилах для Tor'а – только allow outbound – больше ничего. Общий режим – block most. Для чего клиенту для доступа к скрытым сервисам могут быть нужны inbound'ы? Кто может знать ваш IP чтобы установить входящее соединение – только первый узел в цепочке. Зачем? Незачем! :) Вообще это очень интересно – в Network activity что показывается?
SATtva, при такой конфигурации Firewall'а троян смог бы украсть данные с вашей машины и послать их анонимно куда угодно.
Троян мог бы использовать TOR в качестве прокси чтобы отправить данные и при этом остался бы незамеченным c стороны брандмауэра.
Возьмите какое-нибудь приложение, например IE пропишите в качестве прокси 127.0.0.1:8118 убедитесь в том что в Firewall'е нет никаких активных правил для IE и попробуйте ввести в адресной строке какой-нибудь существующий URL, IE отобразит соответствующую страницу.
При том что для него нет никаких активных правил.
Это как будто-бы можно отрегулировать в общих свойствах – "разрешить локальные соединения".
Это не проблема конкретной конфигурации брандмауэра для Tor'а (описанный Вами трюк можно провернуть и на Linux, если заразить систему трояном). ygrek решение уже описал: просто закрыть умолчальный доступ к loopback-интерфейсу и разрешать его только доверенному ПО.
По поводу моей истории со скрытыми сервисами. Похоже, я их давно не посещал: при попытке доступа процесс Tor'а просто тихо завершается без каких-либо ошибок. Проблему решает корректировка указанного выше правила
- Разрешить входящие TCP на локальные порты 9000–9100.
наОднако, без разрешения входящих соединений скрытые сервисы на самом деле недоступны. Вот какое срабатывает правило:
В браузере при этом (спустя несколько секунд после попытки перейти по ссылке) вылетает ошибка 503.
Оксюморон?
Так подскажите как теперь настроить правила для браузера, тор вместе с привокси я удалил, а изменения внесенные им остались. До установки тора у меня было всего 2 правила для браузера:
TCP>исходящее>удаленный порт 80-83 (браузер вообще без настроек- explorer)
TCP>исходящее>удаленный адрес172.16.0.1>удаленный порт 3129 (настройки выхода браузера через наш ISP proxy: использовать прокси 172.16.0.1:3129, не использовать прокси для 127.0.0.1)-настройки рекомендуемые провайдером.
Теперь с этими правилами ни один браузер не идет под фаерволлом и самое странное что не создает новых правил автоматически, даже после переустановки.
Я в этих дела еще новичек и вручную что то настроить не получаеться.
Дайте пожалуйста ответы на следующие вопросы:
1. Почему после удаления тора и привокси все не вернулось в прежнее состояние? Может какие то компоненты тора не удалились и как их найти и удалить.
2. Подскажите правила, как теперь вручную настроить outpost с учетом того что мне надо выходить в сеть через наш локальный прокси провайдера 172.16.0.1 порт 3129?
В глобальных правилах я смотрел нет правил для loopback по умолчанию.
Нашел поганца который колбасил мне систему это программа NetLimiter, просто я ее ставил следом за тором и че то грешил на него.
Эта программа я так понял создает локальный прокси сервер и клиент на компе, в результате я так и не понял суть проблемы, почему оутпост не видит запросы браузеров из под этой программы.
После удаления этой тулзы правила сразу определились и все заработало.
Хех, точка зрения. :-)
Да браузер вообще трогать не обязательно, для него Outpost может всё автоматом настроить. Privoxy доступ в сеть вообще не нужен. Настроить нужно только Tor.
Слава богу.
Ничего не понимаю. А что за программа на порту 2520?
Обращаюсь к HiddenWiki. В логах зафиксированы такие соединения :
– от браузера к привокси
– от привокси к tor-у
– от tor-а наружу
– и один раз от tor-а к tor-у (причём прошло по правилу allow outbound tcp, а не allow local tcp conn). Наверное вот этом соединении и трабла..
ЗЫ Когда делаю обычный запрос то никаких входящих к tor-у кроме privoxy не наблюдается.
Вообще то входящий без запроса трафик (т.е. NEW, а не --state ESTABLISHED, RELATED) нужен только для запущенных серверов, а не клиентов (любых, не только tor). Так например, tor-клиент может спокойно работать за файрволлом, при этом все скрытые сервисы будут доступны.