LINUX.ORG.RU
решено ФорумAdmin

Анонимность в интернете (или Transparently Routing Traffic Through Tor)

 , , ,


1

1

Добрый день, уважаемые господа и дамы.

Думаю многих на этом форуме не устраивает тот факт, что государство (Российская Федерация) пытается всеми силами контролировать интернет (бурное обсуждение законопроекта Милонова в соседней теме, а также не так давно принятый пакет Яровой в пример, скажем так).

Меня тоже этот момент с некоторых пор беспокоит, в связи с чем появилась мысль весь HTTP трафик гнать через TOR, для чего, собственно, думаю настроить прозрачный прокси.

Интересует меня не техническая реализация (с этим, думаю, с пол-пинка разберусь), а именно удобство и скорость такого решения. На сколько медленно будет работать? Что с HTTPS трафиком? Если я понимаю все правильно, то он проксироваться не будет? И безопасность такого решения в т.ч. интересует. Ведь на компьютерах дома я использую стандартный Google Chrome.

В общем все, кто дома использует такое решение, отписывайтесь о впечатлениях, пожалуйста.

На всякий случай приложу ссылку на статью: doc/TransparentProxy.



Последнее исправление: ravdinve (всего исправлений: 1)

весь HTTP трафик гнать через TOR,

Да что у вас как мозги то засраны этим тором? VPS и vpn, всё.

mandala ★★★★★
()

не устраивает тот факт, что государство (Российская Федерация) пытается всеми силами контролировать интернет

Если нужно только обойти цензуру, лучше использовать ssh-туннель/VPN до VPS в какой-нибудь другой стране.
Tor в процессе сессии иногда меняет цепочки (curcuits), что может привести к «особо приятным» просадкам скорости, и.т.д.

скорость такого решения

Зависит от релеев и выходной ноды, но в целом быстро (10+ MBit/секунда).
Ты кстати можешь помочь сети запустив Tor-релей под кроватью :)

Что с HTTPS трафиком? Если я понимаю все правильно, то он проксироваться не будет?

Будет, Tor работает для TCP.
Настрой прозрачное проксирование не только на 80 порт, но и 443.
Копай в сторону правил netfilter (Linux, iptables) или pf (*BSD).

безопасность такого решения в т.ч. интересует. Ведь на компьютерах дома я использую стандартный Google Chrome.

Сомнительная, Tor Project рекомендует использовать только Tor Browser.
В случае если от Chrome отказаться нельзя, по крайней мере замени его открытым браузером: Firefox/Chromium (собранный без sync и hangouts)/netsurf/и.т.д.

Arlecchino ★★
()
Последнее исправление: Arlecchino (всего исправлений: 1)
Ответ на: комментарий от mandala

mandala

Да что у вас как мозги то засраны этим тором? VPS и vpn, всё.

Все дело в том, что я изредка посещаю некоторые сайты в даркнете, хотелось бы добавить немного удобства к этой истории.

ravdinve
() автор топика
Ответ на: комментарий от Arlecchino

Arlecchino

Если нужно только обойти цензуру, лучше использовать ssh-туннель/VPN до VPS в какой-нибудь другой стране.

Обойти цензуру и проще можно, есть ведь всякие плагины к Chrome, а-ля «Обход блокировок Рунета».

Arlecchino

Зависит от релеев и выходной ноды, но в целом быстро (10+ MBit/секунда).

Мне помнится, что сайты в даркнете загружаются весьма долго. Есть «в целом быстро», то почему такая проблема присутствует?

Arlecchino

Ты кстати можешь помочь сети запустив Tor-релей под кроватью :)

На эту тему тоже думал, к слову, чтобы долго не искать, доп. настройки для этого требуются?

Arlecchino

Будет, Tor работает для TCP.

Что, прям любой TCP сервис будет проксировать? Допустим, BitTorrent тоже?

Arlecchino

Сомнительная, Tor Project рекомендует использовать только Tor Browser.

А можно ссылку на эту рекомендацию, хотелось бы почитать о причинах. Спасибо.

ravdinve
() автор топика
Ответ на: комментарий от ravdinve

Все дело в том, что я изредка посещаю некоторые сайты в даркнете, хотелось бы добавить немного удобства к этой истории.

Просто Tor-прокси используй для .onion сайтов. А для остальных ssh-туннель или vpn.

xdimquax ★★★★
()
Ответ на: комментарий от xdimquax

xdimquax

Просто Tor-прокси используй для .onion сайтов. А для остальных ssh-туннель или vpn.

А чем плох TOR в обоих случаях? Допустим, я не хочу, в силу определенных причин, держать VPS где-то в Европе... Например банковской карточки у меня нет.

ravdinve
() автор топика
Ответ на: комментарий от ravdinve

Есть «в целом быстро», то почему такая проблема присутствует?

Если я правильно понимаю, т.к. ping большой. А скорость, да, велика.

Допустим, BitTorrent тоже?

Да, но большинство трекеров UDP, а не http/https.

xdimquax ★★★★
()
Ответ на: комментарий от ravdinve

сайты в даркнете загружаются весьма долго

Не посещаю, сказать не могу.

На эту тему тоже думал, к слову, чтобы долго не искать, доп. настройки для этого требуются?

https://www.torproject.org/docs/tor-doc-relay.html.en#setup

Допустим, BitTorrent тоже?

https://blog.torproject.org/blog/bittorrent-over-tor-isnt-good-idea

почитать о причинах

https://www.torproject.org/projects/torbrowser/design/#DesignRequirements

Arlecchino ★★
()
Последнее исправление: Arlecchino (всего исправлений: 1)
Ответ на: комментарий от ravdinve

А чем плох TOR в обоих случаях?

Обычные сайты дольше грузит, нежели хороший VPN.

xdimquax ★★★★
()
Ответ на: комментарий от Deleted

bdfy

Всё что закрыто cloudflare, гуглопоиск, яндексопоиск.

Вот странно, сейчас запустил Tor Browser и зашел на ya.ru и google.com, вопросов не было. Совпадение?

ravdinve
() автор топика

безопасность такого решения в т.ч. интересует. Ведь на компьютерах дома я использую стандартный Google Chrome

Виндузятнику с гуглозондом Tor — как мёртвому припарки.

sudopacman ★★★★★
()

Анонимность в интернете

КНДР ПМЖ

anonymous
()
Ответ на: комментарий от ravdinve

Бывает и так, но чаще обратная ситуация.

Deleted
()
Ответ на: комментарий от sudopacman

sudopacman

Виндузятнику с гуглозондом Tor — как мёртвому припарки.

Обоснуйте свою точку зрения, если можно?

ravdinve
() автор топика
Ответ на: комментарий от sudopacman

Ну почему же? Он хочет защиться от власти РФ и её цензуры, а Мелкософту плевать на то что он там в вконтактиках делает.

mahalaka ★★
()
Ответ на: комментарий от sudopacman

А хз! Делать нечего. Я же не говорю что это правильно и имеет смысл. :-)

mahalaka ★★
()
Ответ на: комментарий от sudopacman

sudopacman

А ты поискать попробуй

И действительно.

Доступ к нашему сервису временно запрещён!

Возможно, ваш компьютер заражён вредоносной программой, которая автоматически обращается к Яндексу. Рекомендуем вам проверить компьютер на вирусы или обратиться к администратору вашей сети.

Если у вас возникли проблемы или вы хотите задать вопрос нашей службе поддержки, пожалуйста, воспользуйтесь формой обратной связи.

ravdinve
() автор топика
Ответ на: Exit-node отключать не забывайте от anonymous

anonymous

Или, хотя бы, настраивайте фильтры, чтобы выход был не в эту страну. Иначе будет так: https://meduza.io/feature/2017/04/10/kak-arestovali-matematika-dmitriya-bogat...

Спасибо за ссылку, весьма поучительно.

ravdinve
() автор топика

При использовании TOR ты доверяешь весь свой незашифрованный трафик exit-ноде, а так же интернет провайдеру этой ноды. Но есть выход.

Схема такая: [ты] -> [ssh-туннель к «белому» серверу, оформленному на тебя] -> [tor] -> [пулл _твоих_ exit-нодов из купленных за btc серваков] -> [тырнет]

Со своими серваками из пулла нельзя контактировать не через tor. Таким образом ты скрываешь свою последюю милю с обеих сторон. Провайдер не будет знать, что ты пользуешься TOR, а exit-ноды не будут знать о твоем белом серваке, к которому ты коннектишься из дома.

Но расслабляться не стоит, если все же доберутся до одной из твоих exit-нод - могут повесить прокси с js-инжектом, который тебя и спалит. Или ты сам себя спалишь, когда залогинишься куда-нибудь сначала с домашнего айпишника, а затем через эту схему. Нужно иметь стальные нервы и холодную голову, чтобы не совершить ошибку.

Для особо запущенных случаев в эту цепочку можно добавить сервер, парсящий соксы и отдающий их твоим exit-нодам, следовательно на выходе у тебя будут неTOR'овские айпишки.

anonymous
()
Ответ на: Exit-node отключать не забывайте от anonymous

anonymous

Или, хотя бы, настраивайте фильтры, чтобы выход был не в эту страну.

К слову, не смог найти, как это сделать. Подскажите?

ravdinve
() автор топика

Ведь на компьютерах дома я использую стандартный Google Chrome.

Вот действительно. Пользуйте всякие «opera turbo»/аналогичные-плагины для-«любимого браузера» и не «мучайте мозг» не себе, не нам.
А вот если вы из дома торгуете всяким ЦП и другой накромантией, то здесь это запрещено обсуждать.

anc ★★★★★
()
Ответ на: комментарий от erfea

VPN -> SSH Tunel -> TOR -> VPN -> I2P и еще что-нибудь по вкусу :D

Забыли добавить: «и главное ни каких половых контактов» (с) анекдот. :)

anc ★★★★★
()
Ответ на: комментарий от te111011010

te111011010

Оно разве не из коробки отключено? Я думал, его специально надо включать.

Все верно. По-умолчанию отключено.

ravdinve
() автор топика
Ответ на: комментарий от anonymous

Огромное спасибо за комментарий, обязательно изучу эту историю поподробнее.

ravdinve
() автор топика
Ответ на: комментарий от ravdinve

Если единственным доказательством является один ip-адрес, то это явная фальсификация дела. Тогда под ударом могут оказаться абсолютно все, у кого есть доступ в интернет. Злоумышленник может воспользоваться чужим ip-адресом множеством способами.

Надеюсь, позже ситуация прояснится, это фальсификация дела или пусть сидит.

te111011010
()
Ответ на: комментарий от te111011010

Maybe rain maybe snow, maybe true maybe false. Правду один фиг не узнаем.
С точки зрения ИТ-ка конечно интересно чем закончиться.
Но вы правы, вот посмотрите сколько тем, даже здесь, за последний год про сломанные хостинги, а если смотреть с точки зрения админа и DOS/DDOS со стороны сломанных так всех «упырями» посчитать можно.

anc ★★★★★
()
Ответ на: комментарий от mandala

VPS имхо намного легче деанонимизировать. Допустим, было установлено, что в такое-то время на такой-то сайт было отправлено сообщение с ip твоей vps. Подняв логи магистральных провайдеров, можно выяснить, что в это время, помимо адреса этого сайта, виртуалка обменивалась трафиком с твоим компьютером, и больше ни с кем на территории твоей страны (может параллельно с другими сайтами, но это легко отфильтровать).

te111011010
()
Ответ на: комментарий от te111011010

Да кому это нужно. Вон слыхал, этого учителя математики, «адепта свободного программного обеспечения», таки закрыли на СИЗО на два месяца. По всей видимости, пока он пивас покупал себе на вечер и жене прокладки, кто-то с его выходной ноды на «подкроватном серваке» вашего распрекрасного тор-а станцевал танец «скинь пу».

А если тебя начнут вот так искать, с выяснением маршрутов, с сопоставлением времени и т.д., тебя тор не спасет. Вон америкосы иски отзывают, лишь бы уязвимости ПО не светить, через которые деанонят.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от te111011010

Т.е. что я имею в виду — просто так органы просто привлекают крайнего. А заморский сервис вряд ли станет сдавать логи нашим органам. А если начнут работать спецслужбы по конкретному человеку — тут не о торе надо думать, а о совсем другом уровне конспирации.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Мы ещё не знаем, может у них есть ещё какие-то доказательства, что это размещал он. А может и нет.

Вон, кому-то удалось отмазаться в аналогичной (если верить стороне защиты) ситуации: https://toster.ru/q/164523

А если тебя начнут вот так искать, с выяснением маршрутов, с сопоставлением времени и т.д., тебя тор не спасет.

Ну ты не знаешь, в каких случаях как глубоко они ищут.

А заморский сервис вряд ли станет сдавать логи нашим органам.

Вполне могут сдать с потрохами. Особенно если у них есть белая клиентура тут. За отказ от предоставления такой информации могут и заблокировать. А вдруг будет потепление отношения с Западом, тогда может быть международное сотрудничество правоохранительных органах (возможно, оно и сейчас в какой-то мере есть). Тогда запрос поступит от западных органов, которым западный сервис уж точно выдаст всё с потрохами.

te111011010
()
Ответ на: комментарий от mandala

Кстати, по некоторым данным из СМИ, помимо ip-адреса этого учителя сообщения размещались и с других российских ip-адресов. Почему тех пользователей не поймали — непонятно.

Надеюсь, что судебный процесс будет открытым, тогда можно будет примерно понять, где истина.

te111011010
()
Ответ на: комментарий от te111011010

te111011010

Надеюсь, что судебный процесс будет открытым, тогда можно будет примерно понять, где истина.

Маловероятно. Истина вряд-ли в этой истории кого-то интересует, ведь наша судебная система работает с одной целью - наказать.

ravdinve
() автор топика

Огромное спасибо всем за комментарии, ссылки, советы и т.п. Изучив все подробно решил, что эта история не для меня, по крайней мере в том виде, в котором я описал в изначальном сообщении.

Помечаю тему как решенную.

ravdinve
() автор топика
Ответ на: комментарий от ravdinve

Я не говорю, что открытый суд является гарантией справедливого приговора, я говорю, что, если суд будет открытым, то мы для себя можем решить, пусть сидит или ла-ла-ла-ла.

te111011010
()
Ответ на: комментарий от te111011010

te111011010

Я не говорю, что открытый суд является гарантией справедливого приговора, я говорю, что, если суд будет открытым, то мы для себя можем решить, пусть сидит или ла-ла-ла-ла.

Да все же очевидно в этой истории. Вне зависимости от того, виноват парень, или нет, вывод сделать несложно: не стоит прямо или косвенно выступать против действующей власти, а если выступаешь - не удивляйся. Косвенно - это абсолютно разные, порой абсурдные варианты: комментарий в соц. сети, песня или фильм на стене, СМС знакомому... Суть в том, что все суды, уголовные сроки и т.п. - это посыл от власти, вполне себе прямой и явный. Не стоит его игнорировать, если ты не революционер а-ля Че Гевара.

ravdinve
() автор топика

1) Если тебя интересует только обход блокировок, то всякие плагины для браузера (Frigate, например) значительно лучше всяких торов - работают быстрее, куда реже натыкаешься на «доступ с этого IP запрещён», не влияют на качество доступа к незаблокированным сайтам, ставятся в 2 клика. От гебни не спасёт, однако доступ к заблокированным сайтам абсолютно законен. К тому же расшифровать HTTPS-прокси-трафик не является такой уж простой задачей.

2) Если тебе хочется защиты от гебни и обхода блокировок - идеальный вариант это дешёвый VPS с OpenVPN. Почему именно так? Потому что в случае чего будут прижимать (читай - блокировать всех через РКН, кто не согласен сливать данные) популярные сервисы, а никому неизвестный сервак никто не тронет. Я вот купил пожизненный сервер на cloudatcost на всякий случай. Да, за ними есть косяки вроде падающих серверов, однако для VPN это не так критично, как для сайта, а платить больше не надо. Важно помнить, что если мы прячемся только от родной гебни, то нам подойдёт хостинг почти в любой стране, потому что они гарантированно положат на все запросы, которые исходят не от их спецслужб - просто нафиг надо заморачиваться, когда их ничто к этому не обязывает.

Преимущества способа по сравнению с Tor: IP будет только твой (тебя не будут банить сайты за активность других пользователей), скорость будет стабильная, скорее всего лавочку никогда не прикроют (если будет DPI, можно использовать всякие экзотические VPN-протоколы).

3) Если тебе хочется бесплатной защиты от отечественной гебни (пункт 2 требует небольших вложений), либо защиты от иностранной гебни тоже (нужно для нарушения копирайта, создания вареза, распространения ЦП - ничем другим иностранным спецслужбам ты насолить не можешь, пока не покидаешь родную страну), то Tor. Однако надо различать реальную анонимность и её иллюзию. Ибо есть куча способов как спалить реальный IP с Tor, если что-то неправильно настроить (конечно, это касается и остальных способов, но для их use-case это обычно не особо фатально).

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.