Настройка TOR
networksquad
Надеюсь кто-то уже успел помаяться с настройкой точки доступа, то ли еще будет ;-), и узнал кое-что новое для себя.
В прошлый раз мы остановились на NAT и iptables. Упс-с-с, небольшой косяк. (-: В предыдущей инструкции стоило сразу написать, что все правила iptables надо записать в файл и настроить его автоматическое восстановление при запуске.
Поэтому сделаем следующее:
sudo mkdir /etc/iptables - создадим каталог
sudo sh -c "iptables-save > /etc/iptables/iptables.ipv4.nat" - создадим файл в каталоге
В этот файл нужно будет записать все правила маршрутизации из предыдущей и этой инструкций.
А его автоматическое восстановление при запуске пропишем в /etc/network/interfaces добавив строчку
up iptables-restore < /etc/iptables/iptables.ipv4.nat
Пришло время настроить нашу точку доступа на работу с луковичной маршрутизацией. ПО для Tor мы уже установили, теперь лезем в его конфиг:
sudo nano /etc/tor/torrc
Можно отредактировать существующий, либо удалить дефолтный и создать свой - без лишнего хлама, который нам не понадобиться. В любом случае в вашем конфиге должно присутствовать следующее:
ControlPort 9051 - порт на котором Тор прослушивает локальные соединения
Если вы включили контрольный порт, то включите один из методов аутентификации, чтобы предотвратить доступ к нему злоумышленников из ФСБ.
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
CookieAuthentication 1
VirtualAddrNetwork 172.16.0.0/12 - предпочтительная настройка, поскольку снижает вероятность того, что злоумышленник из ФСБ сможет угадать используемый ip-адрес.
AutomapHostsSuffixes .onion, .exit - для работы следующей настройки
AutomapHostsOnResolve 1 - для разрешения адресов с одним из суффиксов указанных выше
ExcludeNodes {ru}, {ua}, {by} - Исключение подозрительных узлов, который могут находиться под контролем злоумышленников из ФСБ.
TransPort 10.10.10.1:9050 - для работы прокси. Указываем ip-адрес wi-fi интерфейса в этом случае. У вас он может быть другим. Порт по умолчанию "9050" его можно изменить тоже.
#TransListenAddress 10.10.10.1 - устаревшая настройка но встречается. Работает вместе с TransPort, но в этом случае в TransPort указываем только порт.
DNSPort 10.10.10.1:53 - для анонимного разрешения доменных имен в ip-адреса. Указываем ip-адрес wi-fi интерфейса в этом случае. У вас он может быть другим. Порт по умолчанию "53"(это стандартный порт для работы DNS) его можно изменить тоже.
#DNSListenAddress 10.10.10.1 - устаревшая настройка, но встречается. Работает вместе с DNSPort, но в этом случае в DNSPort указываем только порт
Вносите в конфиги вышеуказанные настройки без пояснений. Если будете просто их копировать, то стирайте.
Добавляем правила в iptables для TOR и SSH.
Можно открыть файл в редакторе и просто скопировать\вставить. sudo nano /etc/iptables/iptables.ipv4.nat
-A PREROUTING -i wlan0 -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 22
-A PREROUTING -i wlan0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -i wlan0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9050
Далее подключаемся к точке доступа по wi-fi и переходим по ссылке в браузере
Если сайт выдал примерно следующее, то у все получилось.
Если нет, то надо проверить все настройки.