Проксификация всего трафика через Tor

Надо городить, что-то вроде nat перенаправленного в tor. Куча инструкций есть. https://habr.com/ru/company/postuf/blog/472606/

С UDP облом.

не совсем облом с udp. его можно завернуть в tcp, но нужно чтоб на другом конце кто-то опять его распаковывал в udp

https://gist.github.com/vitex/1287517

https://www.wireguard.com/netns/ https://github.com/ambrop72/badvpn/wiki/Tun2socks

завернуть весь трафик на порт tor через iptables, не?

Так ведь можно в роли «прокси» глобально задать порт для Tor?

tun2socks и отдельный сетевой неймспейс, посередине socat и unix-сокет.

А вообще, в torrc есть указание выдавать tun вроде, его тоже можно прокинуть в netns.

и UDP Не выйдет.

Просто завернуть или добиться нормальной работы, т.е. анонимности со сменой цепочек и изоляцией потока? Вероятно второе.

Начать надо с блокирования всего стороннего. Вот правила для iptables, их надо сохранить в исполняемый файл .sh, сделать на него chmod +x и запустить от суперпользователя:

#!/bin/sh

### настройка переменных
# список адресов, работающих мимо Tor(пример: локальная сеть)
_non_tor="192.168.1.0/24 192.168.0.0/24 172.16.0.0/24"

#TransPort нашего Tor
_trans_port="9040"

#основной порт i2p
_i2p_port="10232"

### очистка правил iptables
iptables -F
iptables -t nat -F

### настройка iptables *nat
iptables -t nat -A OUTPUT -m owner --uid-owner tor -j RETURN
iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A OUTPUT -p TCP --dport 53 -j DNAT --to-destination 127.0.0.1:9053

#прямой доступ для $_non_tor
for _clearnet in $_non_tor 127.0.0.0/9 127.128.0.0/10; do
   iptables -t nat -A OUTPUT -d $_clearnet -j RETURN
done

#перенаправление всего остального на TransPort
iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $_trans_port

### настройка iptables *filter
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP --dport $_i2p_port -j ACCEPT
iptables -A INPUT -p udp --dport $_i2p_port -j ACCEPT
iptables -A INPUT -p icmp -j DROP

#прямой доступ для $_non_tor
for _clearnet in $_non_tor 127.0.0.0/8; do
   iptables -A OUTPUT -d $_clearnet -j ACCEPT
done

#разрешаем input для localhost
for _clearnet in 127.0.0.0/8; do
   iptables -A INPUT -d $_clearnet -j ACCEPT
done

#разрешаем только i2p и Tor input/output
iptables -A OUTPUT -m owner --uid-owner tor -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner i2p -j ACCEPT
iptables -A OUTPUT -j REJECT
iptables -A INPUT -j DROP

ОСТОРОЖНО! Только что был закрыт выход в сеть для всех, кроме пользователей tor и i2p.

Теперь доработаем torrc:

TransPort 9040 IsolateDestAddr IsolateDestPort
DNSPort 5353
SocksPort 9250 IsolateDestAddr IsolateDestPort IsolateSOCKSAuth KeepAliveIsolateSOCKSAuth # пригодится далее
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
HTTPTunnelPort 127.0.0.1:9443 IsolateDestAddr IsolateDestPort # для всего, что не поддерживает SOCKS

Теперь ставим torsocks apt install torsocks или как в конкретном дистрибутиве. Далее прописываем в /etc/tor/torsocks.conf :

TorAddress 127.0.0.1
TorPort 9250
OnionAddrRange 10.192.0.0/10
IsolatePID 1

А в .bashrc для всех пользователей добавляем строку . torsocks on

Torsocks помогает изолировать любые программы в терминале. Осталось лишь прописать в настройках прокси где можно SOCKS(9250) и HTTP CONNECT(9443) порты.

Если по какой-то причине необходим HTTP-прокси, но не CONNECT, можно установить и использовать privoxy.

Ну и да, с этими настройками Tor Browser без дополнительных параметров попросту не запустится, надо донастраивать prefs.js. Могу сказать как именно, если интересует(использовать что-то кроме Tor Browser при таких настройках попросту не рекомендуется, могу назвать с десяток причин).

Это всё — для TCP, с UDP же посложнее, но нет ничего невозможного.

Whonix расписывает достаточно подробно: http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wik...

Но выше правильно сказали, что с другой стороны кто-то должен распаковывать UDP, иначе ничего работать не будет. Вариантов много, но нужна конкретика.

Если не секрет: для чего именно нужен UDP через Tor? Может быть я мог бы подсказать способ получше, будь у меня больше вводных.

Ну и да

Через proxychains-ng вроде можно проксировать

Крайне не рекомендую использовать его без очень серьёзного повода, ведь даже сам автор предупреждает, что оно не всегда стабильно работает. Если iptables блокирует обход Tor, то ещё более-менее, иначе это риск деанонимизации.

Если не секрет: для чего именно нужен UDP через Tor?

Торренты 99%.

Спасибо за такой развёрнутый ответ.

Если не секрет: для чего именно нужен UDP через Tor?

DNS запросы через UDP идут, имелось ввиду их тоже проксировать.

Есть tor dns. У тебя на локалхосте тор демон DNS сервер поднимет.

VirtualBox + Tor

Если уж пользоваться виртуалками, то просто поднимаешь Whonix и всё.

DNS запросы через UDP

это legacy. По стандарту с TCP тоже уже должны работать.
man resolv.conf:

use-vc (начиная с glibc 2.14)
	Задаёт RES_USEVC в _res.options. Данный параметр включает принудительное использование TCP для запросов DNS.

Про DNSPort в конфиге tor уже упомянули.
Но, наверно, предпочтительней DNS-over-TLS клиент, который проксировать будет. Stubby, knot или systemd-resolved - https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Clients

DNS запросы через UDP идут, имелось ввиду их тоже проксировать.

Тогда вышеописанные действия помогут, только я там небольшую ошибку сделал — нужен DNSPort 9053, а не 5353.

Кстати, DNS-запросы можно отправлять через Tor даже при прямом подключении со своего ip. Есть инструмент аналогичный команде host, но использующий Tor для DNS: tor-resolve. Например tor-resolve linux.org.ru

И, разумеется, можно использовать этот DNS для всей системы при любых настройках прокси(в т.ч. без прокси).

https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

Крайне не рекомендую использовать его без очень серьёзного повода, ведь даже сам автор предупреждает, что оно не всегда стабильно работает.

Это относится и к redsocks тоже? Просто к примеру если использовать Proxifier, и настроено проксирование всего трафика. В случае если прокси не работает, то трафик не пойдёт в обход прокси, а просто не будет соединения.

Это относится и к redsocks тоже?

Не подскажу, никогда его не использовал. Если мне нужно перенаправить какое-то конкретное соединение/порт в Tor, я обычно использую socat. С его помощью, например, можно поднять на VPS обратный прокси, который бы по запросу на его адрес/домен прозрачно выдавал бы содержимое с onion-сервиса, eepsite и т.п. При отключённом кешировании на прокси придраться вообще не к чему — нет состава преступления.

Просто к примеру если использовать Proxifier, и настроено проксирование всего трафика. В случае если прокси не работает, то трафик не пойдёт в обход прокси, а просто не будет соединения.

Вышеприведённые настройки iptables работают именно так, разве что пользователи tor и i2p могут делать что угодно, но это им необходимо, особенно i2p.

Спасибо за подробное объяснение.

Всегда пожалуйста, я здесь зарегистрировался именно за этим, скоро, как и было обещано, будет завершёно руководство по использованию Tor, а вы пока можете задавать вопросы и смело звать меня по смежным темам — это сильно поможет получить необходимую обратную связь, чтобы сделать руководство максимально релевантным для конечных пользователей.

kali-anonsurf

все сам сделает

А какие правила нужно использовать для nftables?