LINUX.ORG.RU

TOR для чайников (нужна консультация специалиста)

 


5

1

Поставил TOR, настройки не трогал. В Telegram прописал localhost:9050 и всё работает.

Читаю соседнюю ветку LOR и не могу понять, а зачем всё это, если оно и так работает?

Я так понимаю по умолчанию tor работает через sock, где всё «из коробки» пашет? Если нужен не только sock, то тогда - танцы с бубном: создание подсети, iptables и т.д?..

Tor просто предоставляет socks-сервер, чтобы завернуть туда отдельные приложения и не париться с

создание подсети, iptables

Танцы имеют смысл, если весь трафик с машины нужно завернуть в лук

Makhno ()
Ответ на: комментарий от Windows

TOR работает только через SOCKS5?

Если Tor > 0.3.2.1 и в /etc/tor/torrc или /usr/share/tor/tor-service-defaults-torrc прописать:

HTTPTunnelPort 8080

то приложения могут обращаться через HTTP прокси 127.0.0.1:8080 (хотя onion сайты не будут доступны), но важно помнить, что это CONNECT прокси, а не обычный HTTP прокси и многие проги (например, браузеры) через него не подключатся, хотя есть проги, которые поддерживают HTTP CONNECT proxy.

Чтобы гарантированно все проги подключились по HTTP, надо поставить polipo с таким конфигом /etc/polipo/config https://pastebin.com/raw/EQ30TfVP (HTTP proxy 127.0.0.1:8080).
sudo apt install polipo
sudo systemctl enable|disable|status|start|restart|stop polipo


Если прога вообще не поддерживает прокси, ее можно проксировать с помощью torify (нужно поставить sudo apt install torsocks), например:
torify wget https://2ip.ru

Но torify поддерживает не все приложения, он не поддерживает setuid executable (например, VirtualBox).

Танцы имеют смысл, если весь трафик с машины нужно завернуть в лук

Никаких танцев нет https://github.com/SusmithKrishnan/torghost
Почитайте сообщения на форуме https://codeby.net/threads/kali-puskaem-ves-trafik-cherez-tor.61987/ какие зависимости нужно установить для python2.
Можно создать простой alias tor-on и поместить в /home/$USER/.local/bin

sudo systemctl restart tor && sudo torghost start && sudo systemctl restart tor

и tor-off
sudo torghost stop && sudo systemctl stop tor

sudo можно сделать безпарольным:
sudo nano /etc/sudoers
%sudo   ALL=(ALL:ALL) NOPASSWD: ALL


Tor не поддерживает UDP, только TCP. Если нужно пустить UDP через Tor, можно пустить весь трафик на основной системе через Tor (см. выше), а в VirtualBox системе установить OpenVPN TCP, через который пойдет UDP трафик:
UDP - OpenVPN TCP - Tor.

Nakita-Markov ()
Ответ на: комментарий от Riniko

При запуске tor, он по умолчанию не становится входной/промежуточной/выходной нодой.

Промежуточной по умолчанию, по-моему, становится, если запущен не на localhost

Windows ()
Ответ на: комментарий от Nakita-Markov

Спасибо за ссылочки и подробные инструкции. Скажи, а можно ли как-нибудь посмотреть какие настройки по умолчанию разработчики установили, если запустить tor без конфигурационного файла? Меня интересует опция ExitRelay. Как её посмотреть? И как вообще посмотреть я ExitRelay или не ExitRelay по трафику, каким-то признакам, кроме конф. файла?

Windows ()
Ответ на: комментарий от Windows

можно ли как-нибудь посмотреть какие настройки по умолчанию разработчики установили

Некоторые настройки видны в файлах /etc/tor/torrc и /usr/share/tor/tor-service-defaults-torrc
Можно посмотреть здесь https://torproject.org/docs/tor-manual.html

По трафику, каким-то признакам, кроме конф. файла?

Есть ли левый трафик в простое. Есть ли настройки релея и полосы пропускания в официальном Tor Browser'е. Ведь, если разработчики хотят использовать пользователей как добровольцев, они должны об этом сообщить и предоставить какие-то настройки, как в i2p.

Меня интересует опция ExitRelay. Как её посмотреть?

https://torproject.org/docs/tor-manual.html
Пишут, что ExitRelay по умолчанию включен. Жесть.

ExitRelay 0|1|auto

Tells Tor whether to run as an exit relay. If Tor is running as a non-bridge server, and ExitRelay is set to 1, then Tor allows traffic to exit according to the ExitPolicy option (or the default ExitPolicy if none is specified).

If ExitRelay is set to 0, no traffic is allowed to exit, and the ExitPolicy option is ignored.

If ExitRelay is set to «auto», then Tor behaves as if it were set to 1, but warns the user if this would cause traffic to exit. In a future version, the default value will be 0. (Default: auto)

Google Translate:

ExitRelay 0 | 1 | auto

Сообщает Tor, работать ли как выходное реле. Если Tor работает как сервер без моста, а для параметра ExitRelay установлено значение 1, то Tor разрешает выход трафика в соответствии с параметром ExitPolicy (или значением по умолчанию ExitPolicy, если ничего не указано).

Если для параметра ExitRelay установлено значение 0, доступ к трафику запрещен, а параметр ExitPolicy игнорируется.

Если для параметра ExitRelay установлено значение «auto», Tor ведет себя так, как будто для него задано значение 1, но предупреждает пользователя, если это приведет к выходу трафика. В будущей версии значение по умолчанию будет 0. (По умолчанию: авто)

Nakita-Markov ()
Ответ на: комментарий от Nakita-Markov

Опасный TOR: прослушивание ssl-трафика

Ох, спасибо тебе... Ещё такой вопрос: как люди не боятся серфить инет, заходить на свою почту, разные аккаунту и т.д. через TOR, ведь в любой момент может быть подключена Exit-нода с подменой ssl-сертификата с помощью sslstrip? И там уже, как повезёт - то ли украдут у тебя пароли, то ли не украдут... Подробности здесь - Включаем Tor на всю катушку

Я знаю, что предусмотрен механизм по отлавливанию таких нод, но нет никакой гарантии, что мой трафик пройдёт через ноду со сниффером быстрее, чем её обнаружат.

Windows ()
Последнее исправление: Windows (всего исправлений: 2)
Ответ на: комментарий от bdfy

Купи сертификат к лору, например

Допустим у меня есть официальный сертификат к сайту site.com, а далее, всё как в этой статье: распаковываем, нюхаем, запаковываем через свой сертификат site.com, отдаём дальше и все с помощью sslstrip.

Или я что-то не понимаю? :)

Windows ()
Ответ на: комментарий от Windows

sslstrip работает с http соединением, перехватывая редирект на https. если ты изначально будешь ломиться на https или на сайте настроен hsts, то какер не сможет быть мужыком посередине.

bdfy ★★★★★ ()
Ответ на: комментарий от bdfy

Там есть такая фраза:

Согласись, неплохо. Но все же самое вкусное пролетает мимо нас (вернее проходит то оно как раз через нас, но зашифрованным). Но и тут есть выход. Мы уже писали в майском номере о тулзе, перехватывающей данные в SSL-соединениях – sslstrip.

Я так понимаю под зашифрованным понимается https-трафик? Потому что перед этим он ловил пароли в http-трафике без sslstrip.

Windows ()