LINUX.ORG.RU
решено ФорумAdmin

Настройить Tor на шлюзе

 , , ,


0

1

Привет forum. Есть шлюз на Debian + VPN(strongswan).

iptables

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp3s0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o enp3s0 -j ACCEPT

# PPPoE
iptables -A OUTPUT -o ppp0 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -m policy --dir out --pol ipsec -j ACCEPT
iptables -t mangle -A FORWARD -m policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
iptables -t mangle -A FORWARD -m policy --pol ipsec --dir out -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j SNAT --to-source vpn_ip

iptables -I INPUT -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT

Хочется прикрутить tor

tor

VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5300
iptables
iptables -t nat -A PREROUTING -p tcp -d 10.192.0.0/10 -j REDIRECT --to-port 9040
iptables -t nat -A OUTPUT -p tcp -d 10.192.0.0/10 -j REDIRECT --to-port 9040
Dnsmasq резолвит сайты и TOR. Клиенты получают ip для TOR, но сайты TOR на клиенте не открываюся. На шлюзе все открывается.

Подскажите как правильно это дело настроить??? Спасибо.

Ответ на: комментарий от anonymous

Врроде правило есть:

iptables -A INPUT -i enp3s0 -j ACCEPT 
Пробовал разрешать все и
iptables -t nat -A PREROUTING -p tcp -d 10.192.0.0/10 -j REDIRECT --to-port 9040
iptables -t nat -A OUTPUT -p tcp -d 10.192.0.0/10 -j REDIRECT --to-port 9040
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j SNAT --to-source vpn_ip
не работает. Что-то упускаю?

stas_barmy ()

redirect роутит на тот IP интерфейс которого ты указал (а ты не указал), используй DNAT и выставляй конкретный IP и порт

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 1)

[quote]TransPort 9040[/quote] Может по дефолту lo слушает, укажи там [inline]TransPort 0.0.0.0:9040[/inline]

anonymous ()

гребаный мракдаун

TransPort 9040

Может по дефолту lo слушает, укажи там TransPort 0.0.0.0:9040

anonymous ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.