Доступ к тор из внешней сети

0

1

Всем привет. В локальной сети есть несколько машин, на одной из них установлен демон tor. В конфиге тора указано, чтобы он занял адрес и порт 192.168.1.13 и 9100 соответственно. Машины в локальной сети успешно используют этот тор. Вопрос в следующем: как настроить всю схему так, чтобы можно было использовать этот тор из внешней сети? С учётом того, что переадресация портов настроена на ту машину, где стоит тор. Использовать, например, для той же телеги, чтобы вбить адрес внешний и порт, которые редиректиться будут на ту машинку, где тор сидит.

Ссылка

←	Научите запускать при старте машины tmux с конкретными командами внутри

Настройка iptables

→

Как я понял, нужен входной прокси на машину с Tor? Если именно так, то средствами самого Tor никак - нужно настраивать прокси\VPN.

В зависимости от целевого клиента применимы будут разные методы перенаправления трафика. Сделаю смелое предположение, что удалённо использоваться будет Android.

В таком случае самый лучший способ по соотношению просто\надёжно - WireGuard. Нужно настроить сервер на той же машине, где работает Tor(обязательно нужен доступный извне IP), после просто использовать на смартфоне клиент.

С Android возможна ещё настройка прокси через iptables, но это требует прав root.

Способ с WireGuard подойдёт почти всегда, но если нужно перенаправлять именно определённую часть трафика, то стоит использовать прокси. Рекомендую универсальный и надёжный SOCKS5, на сервере можно настроить с помощью dante\3proxy или любого другого подходящего прокси-сервера.

SM5T001 ★
(05.04.20 10:47:19 MSK)

Ссылка

Смотря как у тебя это всё в инет смотрит. Расскажи подробнее топологию сети.

Zhbert ★★★★★
(05.04.20 10:52:52 MSK)

Ссылка

Можно обобщить до - доступ к ip и порту локальной сети из глобальной. Обычно решается настройкой брандмауэра/firewall на маршрутизаторе. Т.к. обычно используется NAT, то тебе нужно настроить то, что называют «проброс портов»/«port forwarding». Тогда маршрутизатор будет слушать на своем внешнем адресе и настроенном порту, а при получении пакетов, передавать их на ip и порт с tor, ответы оттуда передавать обратно. Но это не очень безопасно, поэтому лучше добавить в настройки tor парольную защиту. Но не все программы умеют работать с запароленным прокси(telegram умеет). Можно настроить несколько портов, только не пробовал с разными настройками.
Или, как тут уже предлагают, настроить туннели(между портами), или даже vpn.

~~boowai~~ ★★★★
(05.04.20 12:20:11 MSK)

Ответ на: комментарий от boowai 05.04.20 12:20:11 MSK

Или, как тут уже предлагают, настроить туннели(между портами), или даже vpn.

Только так. SocksPort Torа никогда не был рассчитан на работу за пределами локальной сети, потому передаёт все данные в незашифрованном виде. При работе через глобальную сеть это оборачивается катастрофой и почти полностью уничтожает защиту, предоставляемую Tor, поскольку трафик шифруется только до компьютера с Tor, а значит его можно перехватить и\или модифицировать. https даст определённую защиту, но он не защитит от атаки пересечением, атаки по времени или атаки с подменой на лету(MITM).

добавить в настройки tor парольную защиту

ЕМНИП это невозможно, только для ControlPort, но уж его открывать для внешнего мира тем более безумно, из-за чего в новых версиях маршрутизатора назначение IP не из локального диапазона запрещено.

SM5T001 ★
(05.04.20 13:48:56 MSK)