Установка TOR Сервера на FreeBSD / Linux / *NIX системах. *** МНЕ ЧТОЛИ ВАМ РАСКАЗЫВАТЬ ЗАЧЕМ НУЖНА БЕЗОПАСНОСТЬ ? )))))))) Последние веяния в законах и технологиях угрожают анонимности как никогда раньше, убивая на корню возможность свободно читать и писать в Сети. Это также угрожает национальной безопасности и инфраструктуре, так как связь между индивидами, организациями, корпорациями, и государствами становится более подверженной анализу. Каждый новый пользователь и сервер добавляют разнообразия, укрепляя способность Tor'а вернуть контроль над приватностью и безопасностью в Ваши руки. Зачем это нужно ? Нет, я благотворительностью не имею привычки заниматься. Порой нету возможности платить за VPN канал, ну вот есть такой ход. Все на взаимовыгодных условиях, а именно мне нужен левый, бесперебойный исходящий трафик, других людей. Это делается , чтобы потеряться в нем. Если будут сниффирить на предмет чем именно занимаюсь я, в этой каше будет не реально понять, кто именно я. Пожалуй – это сама лучшая и большая система приватности, из бесплатных на данный момент. Ко мне входит в сервер шифрованный трафик клиентов ТОR, а выходит из меня уже в открытом виде. Клиентов очень много , в данный момент активно 1187 , я поставил пропускную способность сервера на 2,6 Mb на входящий и исходящий. Иногда из вне, когда сижу не из дома, я подключаюсь к этому же серверу на котором весит TOR, но по VPN(mpd5) и следовательно весь мой трафик снова теряется во всей этой бесперебойной клиентской TOR каше. Тест серверной части TORa на Windows 7 прошел на ура. Тестировался трое суток, я доволен. Ресурсов есть мало и роботе в сети не мешает. Вот переношу серверную часть TORа к себе на сервер FreeBSD 7.1 , чтобы левый - клиентский трафик шел беспрерывно, даже когда моя пользовательская машина выключена. ))) Инструкция сгодится и для новичка, главное не торопиться и все делать по порядку. 1) Первым делом, обновим порты, чтобы все прошло без кривизны и гладко. Я предпочитаю cvsup , вместо нового portsnap. http://www.lissyara.su/?id=1012 После апгрейда приступим к установки TORa. 2) #cd /usr/ports/security/tor #make install clean 3)Сервер установлен. Приступим к его настройке. Отредактируем конфигурационный файл, где укажем ваше имя, почту, на каких портах он весит на вашем сервере и по каким портам можно ходить клиентам. #cd usr/local/etc/tor/ #ee torrc SocksPort 9050 # what port to open for local application connections SocksListenAddress 127.0.0.1 # accept connections only from localhost #SocksPolicy accept 10.44.111.0/16 #SocksPolicy reject * #Log notice file /usr/local/var/log/tor/notices.log #Log debug file /usr/local/var/log/tor/debug.log #RunAsDaemon 1 #DataDirectory /usr/local/var/lib/tor #HiddenServiceDir /usr/local/var/lib/tor/hidden_service/ #HiddenServicePort 80 127.0.0.1:80 #HiddenServiceDir /usr/local/var/lib/tor/other_hidden_service/ #HiddenServicePort 80 127.0.0.1:80 #HiddenServicePort 22 127.0.0.1:22 #Address noname.example.com ContactInfo Random Person <YouName AT mail dot ru> # Укажите контактную информацию , как можно с вами связаться [email protected] RelayBandwidthRate 1700 KBytes # Указываем максимальную скорость RelayBandwidthBurst 1700 KBytes # входящего и исходящего трафика. #ORPort 9001 #ORListenAddress 0.0.0.0:9090 DirPort 9030 # Здесь лучше указать 80 порт , если не будет мешать вашему веб серверу. Клиентов прибавится из офисов, кто юзает клиент TORa через проксю 80 порта. #DirListenAddress 0.0.0.0:9091 MyFamily YourNickname # YourNickname – впишите имя вашего сервера. ExitPolicy accept *:6660-6667,reject *:* # Открываем irc, все другие порты запрещаем ExitPolicy accept *:6697 # IRC – Далее порты которые открыли. ExitPolicy accept *:21 # ftp ExitPolicy accept *:80 # web ExitPolicy accept *:81 # web ExitPolicy accept *:88 # web ssl ExitPolicy accept *:110 # mail ExitPolicy accept *:119 # accept nntp as well as default exit policy ExitPolicy accept *:143 # mail ExitPolicy accept *:443 # SSL ExitPolicy accept *:993 # mail ExitPolicy accept *:995 # mail ExitPolicy accept *:1863 # Messenger #ExitPolicy accept *:1935 # FLASH может раскрыть , истинный ИП клиента - закомментировал. ExitPolicy accept *:5190 # icq ExitPolicy accept *:5050 # Mess ExitPolicy accept *:5222 # Mess ExitPolicy accept *:7771 # Mess ExitPolicy accept *:8080 # web ExitPolicy accept *:8181 # web ExitPolicy accept *:8300 # Mess ExitPolicy accept *:8888 # web #ExitPolicy reject *:* # no exits allowed ORPort 443 #BridgeRelay 1 4) Открываем порты на фаерволе, если он стоит. В моем случае это был 443, 9030. 5) Возможно понадобиться сделать вот это # echo "tor : ALL : allow" >> /etc/hosts.allow 6) Обязательно выполним синхронизацию часов http://www.lissyara.su/?id=1260 У него там написан сервер “europe.pool.ntp.org”, найдите рабочие и замените, бывает не пашет. 7) Убедитесь что работает разрешение имён (DNS) (то есть, ваш компьютер может правильно делать name resolving). 8) Засовываем сервер в автозагрузку операционки, не знаю как в Linux ,поэтому не расписываю. 9) Заполните "ContactInfo" ВЕРНО в torrc, чтобы могли связаться с вами если вашему серверу надо будет обновиться или случится что-то непредвиденное. Ну там где ваше мыло. 10) Перезагружаемся. Смотрим, активен ли он. Если есть подозрение, что он не работает, убиваем процесс tor и запускаем с командной сроки. #tor 11) Сервер в списке серверов появится не сразу, через часа 4, не паникуем ))) И последние сохраняем ключики на ваше имя сервера, чтобы его не утерять. (хранится в "keys/secret_id_key" в DataDirectory). Этот ключ идентифицирует ваш сервер и вы должны держать его в безопасности, чтобы никто не мог расшифровать трафик, идущий через ваш сервер. Если вам этой инструкции, недостаточно и вы хотите вникнуть в тонкости настройки сервера и его оптимизации, то вам сюда http://www.torproject.org/docs/tor-doc-relay.html.ru. Удачи.
))))))))))) Да , а что же тогда актуально ? VPN , где третьи лица ? Если будет запрос они же тебя сдадут с потрохами. Иди на какой нибудь германский, французкий, швеский или американский форум с айти специалистами и скажи, что ТОР лажа ))))). Английски ресурсы тоже надо посещать. Изучив весь материал , с уверенностью скажу , что на данный момент - это лучшая защита без финансовых вложений. Рекомендую изучить. Сюда глянь. http://www.torproject.org/overview.html.ru Это вообще-то кстати военная разработка, а не какое-то там хухры мухры типа института Беркли. Так сложилось , что рассекретили , видимо в своих же интересах. Просто я диву даю , что у нас еще не ВПЕРЛИ , что это за подгон.
норм статья... но ведь в манах всё досконально объяснено что да как и почему )) Имхо пустая трата времени
Нужно просто понять принцип. – На какой локальный порт машины ТОР заворачивает трафик. Если вам тяжело рыться и осмыслить клиентские конфиги, то вы можете посмотреть в настройках FireFox на какие порты он заварачивает свой трафик. Как правило по у молчанию – это. HTTP - 127.0.0.1:8118 SSL - 127.0.0.1:8118 SOCKS – 127.0.0.1:9050 Соответственно. Запускаем a) Privoxy b) Vidalia А далее в любой программе, где в настройках есть возможность указать прокси или сокс указываем эти локальные порты - 127.0.0.1:*. Если нет этой настройки , то можно через FreeCap запустить эту программу , опять же в натсройках ее указать эти локальные порты , куда заворачивается трафик - 127.0.0.1:* Теоритически можно завернуть все, начиная от ssh, кончая webmoney ))). Удачки .
Применение TOR сервера на примере наглядной схемы. По тематической теме на одном форуме русского инетрнета был задан вопрос : Скрыть трафик от провайдера Возможно ли это? например анонимайзеры, прокси и т.д. Ответ: Анонимайзеры , прокси , соксы и даже https , читаются при нужде и запросе служб c помощью подготовленных специалистов без промедления. НО ТРАФ НЕ ШИФРУЕТСЯ И СПОКОЙНО НЮХАЕТСЯ В ЛОКАЛКЕ. Ладно вопрос о скрытии трафика от оператора , который вам предоставляет услуги связи . Расскажу лучший и самый безопасный вариант на примере города Санкт-Петербург с применением *nix сервера в одной квартире и студией в другой. Предположим у тебя есть квартира, где ты живешь. Ставишь туда сервер на *nix системе. Выбираешь провайдер на витой паре , потому что в локалке скорость 100 Mb в секунду, очень удобно. Как выбрать провайдер ? Очень просто , сейчас у всех подключение бесплатное , просишь всех протянуть тебе кабель в квартиру , смотришь у кого пинг чище до шлюза, тот лучше и взять. (Провайдеры быстро растут и апгрейт Цизок не поспевает за ростом абонов , от чего инет порой ужасно тормозит и девочек выкидывает из комнат, провайдер конечно не признается , что если пинг до шлюза хуже чем единица - то они ПОЛНЫЙ КАЛ.) Ну и у всех провайдеров в разных районах ситуация разная. Я в Питере выбрал Ниеншанс , Интерзет и Карбина оказались отстоем на сегодняшний день , но их кабель лежит про запаску, ситуация на их рынке быстро меняется. Да при заключении договора , говоришь. Я Александр Ржевский , паспорт забыл , а то вдруг потом через года 4 увидишь себя в базе типа телефонной, с точностью до хаты, наверника базы выйдут рано или поздно в народ и сдаются в ГОС службы. Во второй квартире проводим интернет этого же провайдера опять с забытым паспортом Наташи Ростовой. Делается чтобы попасть в одну локальную сетку со скоростью между этими квартирами на 100 Мb. В квартире , где сервер берем инет подороже, за полторы деревянных, чтобы в инете скорость была 20Mb в секунду , еще и безлимитка, а там где студия платим по мнимому 400 р. , чтобы просто была открыта локалка до сервера. 1) Как настроить сервер с купленым выделенным внешним IP адресом. 2) Как настроить Студийные машины. 1)Сервер. а) Поднять на сервере VPN сервер для студийных машин , скорость то в локалке 100 Mb и пров не читает локальный трафик )))), а если кто-то попытается , хрен получится , VPN шифрование. Для того чтобы винда стандартным способом подключалась к VPN серверу , на *nix машине ставится MPD5 Сервер. Сервер настраиваем так , чтобы он не сохранял логи , откуда подключение. Все , технически хату не вычислить. Только отслежка и просмотр мобильных маячков )))) Ну и в студии скорость инета соответственно становиться 20Mb безлимитка. )) Заходим на ках форум (Только не вздумай в раздел кардеры лезть), ну что-то типа antichat.ru. Предлогаешь человекам 20 VPN аки на халяву, даешь только в личке и выделяешь им ширину канала 2 MB, чтобы не мешале работе студии . Что там 2 Mb для 20 выделенных ? .. )) Это так для хитрости и отвода глаз для прова , если начнут сканить какие порты открыты на сервере , а они отслеживают только инет траф и о существовании студии в локалке даже не подумают. Порт открыт , народ из вне ходит , ты же раздал халявные VPN, что они там делают пох, если не кардеры ничего страшного сделать не смогут, а про студию в локалке они даже не догадаются. )) б) Покупаем VPN , лучше брать сервера в странах с быстрым инетом (Германия , Швеция , Нидерланды) Ну и соответственно , где веб кам не доходен и его не палят. Покупаем ВПН клиент. Пробрасываем на данный канал все клиентские акки из студии. Получается Трафик из студии шифруется до сервера и потом шифруется дальше. Ну все шифрованый трафик из студии не прочитать ! Чем ты занимаешься не известно. Но все равно , все это не надежно. Ширина трафика , то большая , очень привлекает внимание , там же видео поток идет , но пров то это не знает. А ширина 20 разданых акков даже 1-10 не составляет от непонятной зашифрованой каши Если ГОС службы подадут запрос в ту страну , где твой VPN сервер(Пров видит куда ты стучишь до VPN сервера), все твои логи сольют без размышлений. Ни в каких странах провайдеры не будут сориться с желаниями и просьбами от ГОС служб. ))) в) Заметаем следы ! Что же делать ? Нужен реальный трафик , такой же большой , но левый . Как его сделать ? Нужно стать сервером ! Можно повесить на сервере Socks или Proxy и выпустить это в сеть на халяву , опять ограничив ширину канала. предположим 5 MB , как ширина твоего VPN клиента от Недерланд )) НЕ ГОДИТСЯ ... Объясняю . Входящий и исходящий не шифруется и методом снифинга можно все разложить по полочкам и понять , что есть толстая кишка из непонятного трафа до Нидерланд. Тебе подойдет TOR сервер, вот ему и нужен внешний интернет IP адрес. У него трафик , также как и VPN разшифровать невозможно. Вот на него и вешаешь эти 5Mb в секунду и того на студию остается 20-5+2=13 MB ДоХЕРА!!! К тебе в сервер заходит зафаршированный трафик , клиентов TOR , а они выходят из сервера в расшифрованном на кучу страниц и кучу разных сетевых интернет портов. Следовательно трафик который из тебя выходит к тебе не имеет никакого отношения вообще. За два дня такое количество , сколько твоя студия потребляет за месяц. У админа провайдера , глаза выкатятся , прежде чем он поймет , что происходит и желание разбираться во всем этом отпадет сразу. Ты наверно спросишь , а как же юридическая подкованность в логически вытекающих вопросах с данной поставленной темы относительно не твоего трафика ? ))) Зайди на antichat.ru , мой ник там kodzero , данная тема поднималась . Если почитаешь внимательно, то найдешь там . Мне второй раз лень писать. P.S. Статьи с конфигами по настройке сервера можно взять на сайте Лисяры - гуру по FreeBSD. 2) Клиентские машины в студии на Windows линейке. Нужно сделать чтобы VPN всегда был поднят до сервера автоматом , как машинка включается и пре разрыве автоматом дозванивался, дабы модели не утруждались не нужными инструкциями. Программа winservice запихивает любую программу как службу. Программка VPNDialerSet контролирует постоянное подключение к VPN сервису. Просто VPN соединение мы не можем засунуть в службы, поэтому запускаем его через данную программку . Сама же программку оформляем через winservice , как службу автоматом стартующую с загрузкой винды. Комп включается , тут же автоматом поднимается VPN туннель до сервера в другой квартире , при разрыве , программка тут же востанавливает связь , ведь она активна как служба. Удачки P.S Наглядная схема данного счастья. По просьбам трудящихся , есть один наглядный комикс на расписаную схему ))) http://lacktic.narod.ru/VPN.jpg Чтобы проще было понять смотреть по пути: Клиент -> Домашний сервер -> Провайдер -> Интернет. Пунктир красного оттенка на пути следования расшифровать не возможно - (VPN или TOR зашифрованый трафик) Пунктир синего оттенка не в зашифрованом виде , его подсовываем провайдеру . Если у прова взяли трафик на 20 MB безлимитки. Я бы разделил в соответствие 5Mb на внешний VPN 2 MB халявным VPN клиентам и Все остальное на TOR сервер. 13 Mb.
