LINUX.ORG.RU
решено ФорумMobile

Разыскивается устройство с защитой трафика

 , ,


0

2

Хотелось бы, чтобы никто не узнал мой любимый жанр порно, и никому другому, кроме своего домашнего интернета я не доверяю, а выходить в интернет нужно так же и с мобильного устройства.

Вариант а) ищу тупую звонилку, но так же с возможностью подключения к интернету по GPRS/EDGE, при этом важно быть уверенным в её «тупости»: звонилка сама не полезет в интернеты и не выдаст себя. В этом случае, выходить в интернет предполагается с нетбука, используя звонилку как модем.

Вариант б) Nokia N900

На нём напрочь отсутствует возможность настройки socks5-прокси, с чего бы вдруг... Только всякие HTTP/FTP можно указать.

Установил openssh, iptables, tsocks, ограничил весь трафик через iptables (делаю DROP), устанавливаю socks5-прокси соединение с домашним компьютером используя ssh -D 1080, затем через tsocks запускаю приложение... И вроде бы оно работает.

Просто так, telnet не может подключиться к хосту, через tsocks telnet подключается, значит оно работает. Но Opera через tsocks выдаёт ошибку Канал сети блокирован.

Ещё проблема, что tsocks не пропускает через себя DNS-запросы, приложение выполняет их отдельно, это тоже очень плохо, приложения как-бы говорят, к какому ресурсу я обращаюсь, не смотря на зашифрованный основной контент. Пока что пришлось разрешить iptables'у пропускать запросы на 53 tcp/udp порты.

Каким же лучше способом защитить трафик от посторонних глаз?

Важно не быть анонимным (какая уж тут анонимность, когда симка на моё имя), скорее наоброт, — ничто не должно говорить, что я использую какие-либо средства для анонимизации трафика ибо это палево само по себе.

Сам девайс, через который осуществляется выход в интернет, не должен быть «умным», например, не должен проверять наличие обновлений для себя. Не должен выдавать себя никоим образом. Android сразу идёт мимо, так?

Что посоветуете? Использовать «тупую» звонилку с GPRS + нетбук? Или попытаться таки настроить N900 на прозрачное использование socks5 по ssh через iptables? redsocks накатить тогда попробовать.

★★★★★

Nokia N900

На нём напрочь отсутствует возможность настройки socks5-прокси

А ну-ка обоснуй этот бред для произвольного браузера.

t184256 ★★★★★ ()

GPRS/EDGE

Ты этим хоть раз реально пользовался? С этого лор то открыть тяжело.

dk- ()
Ответ на: комментарий от t184256

В настройках интернет-соединений пунктика Socks5 нет, только HTTP/HTTPS/FTP/RST. В настройках Maemo Browser пунктика настройки Socks5 нет, в настройках Opera тоже нет.

Забыл про Firefox, который слишком жирный, но попробую попользоваться им...

Хотелось бы иметь глобальную настройку socks5 для всей системы, а для этого чую, надо пердолиться с iptables + redsocks. Отпишусь, как получится.

Spoofing ★★★★★ ()

Хотелось бы, чтобы никто не узнал мой любимый жанр порно

Сублимируй.

bubblecore ★★★★ ()

Установил openssh

прозрачное использование socks5 по ssh через iptables

а зачем вообще второе, если есть первое?

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

ssh реализует безопасное зашифрованное соединение.

socks5-прокси, который поддерживают не все программы, а конкретно на N900 ни одна программа его не поддерживает.

ssh -D 1080 запускает socks5-прокси сервер на 127.0.0.1:1080, что теперь можно выходить в сеть через зашифрованный туннель.

но мы по прежнему не можем его использовать, потому что программы тупо не умеют. а если бы и умели, то опять же, лишь часть из них, и какой-то трафик оставался бы незашифрованным.

tsocks это программа-костыль, которая позволяет запущенным через него программам выходить в сеть через socks5-прокси.

таким образом, iptables'ом мы блокируем (DROP) весь трафик, что теперь N900 вообще не может ни выйти в интернет, ни к нему никто не может подключиться. то есть, по-умолчанию все программы, все фоновые службы, которые без ведома захотят выйти в сеть, не смогут этого сделать.

а теперь добавляем правило, чтобы iptables всё же пропускал трафик, но только на один единственный адрес: 127.0.0.1:1080, и теперь, если какая-то программа захочет выйти в сеть, она сможет это сделать только через наш защищённый socks5-прокси. и лишь программы запущенные через tsocks могут это сделать.

сейчас ковыряю redsocks, который избавит от костыля tsocks, а все программы выходя в сеть — просто проходя через iptables будут заворачиваться в защищённый socks5-прокси.

Spoofing ★★★★★ ()

А через openvpn завернуть весь трафик не проще? Правда хз как openvpn-клиент будет грузить проц слабенького смартфона.

Nao ★★★★★ ()

Хотелось бы, чтобы никто не узнал мой любимый жанр порно

Не переживай, всем насрать, на что ты фапаешь.

Valkeru ★★★★ ()

юзай не socks5, а tun овер ssh

anonymous ()

и да, ты будешь палиться хотя бы тем, что весь трафик будет идти через 22(ну или какой там) порт удаленного хоста

anonymous ()
Ответ на: комментарий от Spoofing

Тьфу, до последнего момента был уверен, что там написано openvpn. Каюсь, слепой.

t184256 ★★★★★ ()

Каким же лучше способом защитить трафик от посторонних глаз?

А от посторонних глаз девушек ты тоже защищаешься?

Найди себе девушку, остальное вопросы сразу решатся.

g3nt00 ()
Ответ на: комментарий от Spoofing

В настройках интернет-соединений пунктика Socks5 нет, только HTTP/HTTPS/FTP/RST. В настройках Maemo Browser пунктика настройки Socks5 нет, в настройках Opera тоже нет.

На счет opera не уверен, он должен быть, по крайней мере в старой Opera Mobile на Presto
Ты можешь privoxy настроить например. Но я не понял, зачем тебе все эти извращения. В крайнем случае настрой openvpn, и все.

anonymous_sama ★★★★★ ()

чтобы никто не узнал мой любимый жанр порно, и никому другому, кроме своего домашнего интернета я не доверяю, а выходить в интернет нужно так же и с мобильного устройства.

ты с лопатофона прон собрался смотреть?

Harald ★★★★★ ()
Ответ на: комментарий от q0l3shka

о да, отлично, спасибо большое, теперь вопрос решён.

веб-сёрфинг — единственная задача, которую нельзя было выполнять через консоль, в нашем случае по ssh, поэтому нужно было настроить хотя бы браузер.

теперь с настроенным iptables, который DROP'ает _весь_ трафик, а пропускает только ssh и socks5-прокси порты, я могу быть уверенным, что ниодно приложение с телефона не выйдет в сеть без моего ведома, а всё, что выйдет — выйдет только через мой домашний ПК.

ssh -D 1080 home@pc

а на крайний случай ещё есть tsocks.

Nokia-N900:~# iptables-save
# Generated by iptables-save v1.4.12 on Fri Apr  8 14:54:15 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [89:8212]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1080 -j ACCEPT
COMMIT
# Completed on Fri Apr  8 14:54:15 2016
# Generated by iptables-save v1.4.12 on Fri Apr  8 14:54:15 2016
*nat
:PREROUTING ACCEPT [116:33384]
:POSTROUTING ACCEPT [305:27535]
:OUTPUT ACCEPT [783:77337]
COMMIT
# Completed on Fri Apr  8 14:54:15 2016

ищо раз спасибо! =)

Spoofing ★★★★★ ()

Лично уже давно положил на частность инфы и конфиденциальность данных ибо современны говнотехнологии все это......на корнрю короче. Советую звонилку,тупую или нет это уже ваше.но юзайте симбиан. Что от 9.4 и выше не копал особо но остальное не имеет нынешних фимозных фич и будет делать только то что вы скажете. Другое дело понравится ли вам такой браузинг. Симба имхо последний кто умел не уметь работать без спроса.

anonymous ()

Андроид прекрасно умеет впн из коробки, не надо сношать себе мозг

OldWiseCat ★★ ()
Ответ на: комментарий от te111011010

Вы не первый, кто задался вопросом в этом треде. Дело не в порно, слово «порно» было использовано для характеризации типа контента, который не должен прочитать «человек по середине».

Проще говоря, всё, что передаётся между мной и сервером — должно оставаться между мной и сервером. Даже если это и порно, но нет, это не порно, порно не смотрю — собственные фантазии ярче, особенно с утра, пока ты ещё в полусне. ;)

Spoofing ★★★★★ ()
Ответ на: комментарий от Gibson1980

скажешь это сержанту,местному участковому,дети которого осилят интернет,и скажут папке-а в россии запрещен прон,и папка потирая ручки-а ну ка покажите мне статистику по трафику в твой инет провайдер

и ты в тюрячьке

а товарищь сержант капитаном станет

удачно отсидеть

uhuhu222 ()
Ответ на: комментарий от Gibson1980

естественный отбор-будь ты не ленивым пофигистом-самбы стал сержантом,и самбы героически начал ловить за использование интернета

а так нет-вот и жди пока тот кто не настолько ленив как ты,сожрет тебя

тебя посадят инфа 100%

uhuhu222 ()
Ответ на: комментарий от uhuhu222

Да, я не сержант а всего лишь лейтенант, правда запаса))))))

Говоришь мне о лени, а сам пост по человечески оформить лечишься. Шах и мат тебе!

Gibson1980 ★★ ()
Последнее исправление: Gibson1980 (всего исправлений: 1)
Ответ на: комментарий от Gibson1980

у тебя на аватарке разработанный евреями вражеский образ прозападной жизни

на этом портале нет иконки 18+

значит ты умышленно травмируешь психику детей и занимаешься пропогандой вражейской культуры

это уже лет на 20 потянет

к тебе уже выехали

слава императору!

uhuhu222 ()
Ответ на: комментарий от Gibson1980

Всем операторам связи до конца года установят «ревизор» Роскомнадзора http://tass.ru/obschestvo/3221719

Слава императору!

а тебя посодют гнусный приспешник запада,враг народа и всего человечества!

uhuhu222 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.