Как настроить шлюз tor

Обновлено: 03.07.2024

Этичный хакинг и тестирование на проникновение, информационная безопасность

Оглавление

Эта статья расскажет о возможностях и ограничениях сети Tor, а также о нескольких программах, которые повысят вашу анонимность за счёт сокрытия реального IP. Эта статья рекомендуется к прочтению даже если вы пользуетесь дистрибутивом Linux, который поддерживает включение анонимного режима одной кнопкой.

Как использовать Tor как прозрачный прокси

Сеть Tor в первую очередь предназначена для доступа к веб-сайтам, по этой причине, а также чтобы избежать сбора отпечатков пользователя (например, о версии операционной системы по особенностям сетевых пакетов), сеть Tor поддерживает очень ограниченный набор передаваемого трафика. Например, через сеть Tor можно сделать запрос к веб-сайту (протокол TCP), но невозможно передать UDP пакеты или сырые пакеты (запрещено всё, кроме полноценного подключения к сайту).

Сеть Tor подходит для:

  • сокрытия IP от сайта, к которому вы подключаетесь
  • обход блокировок сайтов
  • DNS запросов через Tor (DNS нужен для получения IP адресов сайтов — ваш браузер и система постоянно отправляют эти запросы). При этом не используются UDP пакеты, а данные передаются в зашифрованном виде
  • для сканирования открытых портов методом создания полного подключения (более медленный и более заметный по сравнению с методом полуоткрытых соединений)

По этой причине, когда мы говорим «перенаправление всего трафика через Tor» на самом деле имеется ввиду «перенаправление всего трафика, поддерживаемого этой сетью, через Tor».

Значительная часть трафика просто не может быть отправлена через сеть Tor, например, пинг, некоторые методы трассировки, сканирование полуоткрытыми соединениями, DNS запросы по UDP протоколу и т. д. Исходя из этого возникает другой вопрос — что делать с трафиком, который невозможно передать через сеть Tor: отправлять к целевому хосту минуя сеть Tor или блокировать?

Прокси или iptables для перенаправления трафика

При настройке системы для использования Tor, можно выбрать разные варианты реализации: прокси или iptables.

При настройке прокси, нужно помнить, что Tor работает как SOCKS прокси — не все программы поддерживают этот протокол. Но самое неприятное может быть в том, что если установлены общесистемные настройки прокси, то некоторые программы могут игнорировать эти настройки и подключаться к удалённым хостам напрямую, минуя прокси и Tor.

В этом смысле программа iptables является более надёжным и универсальным вариантом, которая при правильной настройке будет гарантировать, что тот или иной тип трафика не сможет выйти из системы кроме как через сеть Tor, либо будет заблокирован.

Программы для перенаправления всего трафика через Tor

Итак, как мы уже узнали, нужно решить ряд задач для корректной работы с Tor:

По этой причине имеется много разных программ от разных авторов, реализующих в той или иной степени описанный функционал.

orjail

Хотя все рассматриваемые далее программы немного разные, начнём с самой необычной из них. Она называется orjail. Программа на момент запуска создаёт собственное сетевое окружение для запускаемой программы и в этом окружении программа может выходить в Интернет только через сеть Tor.

Установка orjail в Kali Linux

Установка orjail в BlackArch

Если вы хотите, чтобы ПРОГРАММА выходила в сеть через Tor, то запустите команду вида:

Например, следующая команда показывает внешний IP вашего компьютера:

А теперь запустим эту же команду с помощью orjail:


Обратите внимание — служба Tor необязательно должна быть запущена. Программа orjail сама создаёт виртуальные сетевые интерфейсы, сама запускает новый экземпляр службы Tor и когда основная программа завершается, останавливает Tor и удаляет временные сетевые интерфейсы.

Чтобы вы наглядно это увидели, просмотрите информацию о ваших сетевых интерфейсах:

А теперь посмотрите, что видят программы, запущенные с помощью orjail:

Они совершенно в другом окружении!


Таким образом можно запускать и программы с графическим пользовательским интерфейсом:

Но с веб-браузерами будьте осторожны: orjail это скорее супер быстрое решение, когда нужно обойти блокировку или сменить свой IP. В более серьёзных ситуациях используйте Tor Browser — этот вариант безопаснее.

Если запустить orjail с опцией -v, то можно увидеть все происходящие процессы:


Обратите внимание, что orjail не умеет работать с IPv6 протоколом! Дело в том, что создаваемым временным сетевым интерфейсам назначаются только IP адреса. В принципе, думаю добавить поддержку IPv6 несложно, но в настоящий момент IPv6 трафик просто никуда не уходит.

Как мы уже знаем, через Tor невозможно передать пакеты UDP протокола, тем не менее, orjail может выполнять DNS запросы:

В качестве сервера, от которого получен ответ DNS, будет указано что-то вроде:

То есть DNS запросы обрабатываются в сети Tor.

Ошибки в orjail

Ошибка «User root: invalid name or no home directory.»

Вы можете столкнуться с ошибкой:

где вместо «root» будет имя вашего пользователя.

Так ошибка выглядит при выводе отладочной информации:

Для исправления откройте файл orjail (если вы уже выполнили установку, то этот файл размещён по пути /usr/sbin/orjail), найдите там строку

Ошибка «./usr/sbin/orjail: строка 563: /tmp/torpVKzn4: Отказано в доступе»

Вместо /tmp/torpVKzn4 может быть любое произвольное имя.

Для исправления вновь откройте файл orjail (если вы уже выполнили установку, то этот файл размещён по пути /usr/sbin/orjail), найдите там строку

torctl

Далее рассматриваемые программы очень схожи, они все используют Tor + iptables, но все чуть по-разному.

Начнём с самой многофункциональной программы torctl.

Эта программа написана для BlackArch, но довольно легко портируется на другие дистрибутивы.

Установка torctl в Kali Linux

Установка torctl в BlackArch

Чтобы узнать свой текущий IP, выполните:

Чтобы запустить Tor в качестве прозрачного прокси:


Для проверки статуса служб:

Если вы хотите поменять IP в сети Tor:

Для работы с Интернетом напрямую, без Tor, запустите:

Чтобы поменять MAC адреса на всех сетевых интерфейсах выполните команду:

Чтобы вернуть исходные MAC адреса:

Следующая команда добавит службу torctl в автозагрузку, то есть сразу после включения компьютера весь трафик будет пересылаться через Tor:

Для удаления службы из автозагрузки выполните:

Ещё вы можете включить автоматическую очистку памяти каждый раз при выключении компьютера:

Для отключения это функции:

Этот скрипт знает о существовании IPv6 трафика и успешно блокирует его. Запросы DNS перенаправляются через Tor.

AnonSurf

Если вы знакомы с Parrot Linux, то программа AnonSurf тоже должна быть вам знакома — она включает режим анонимности в системе. AnonSurf при желании закрывает программы, которые могут скомпрометировать анонимность, перенаправляет трафик и DNS запросы через Tor, блокирует IPv6.

AnonSurf слишком интегрирована в Parrot Linux и на других системах я бы рекомендовал выбрать какой-нибудь другой вариант, благо, выбор есть. Ещё мне не нравится, что программа пытается запустить/остановить какие-то сервисы без проверки их наличия и выводит ошибки, если они отсутствуют — из-за избытка ненужно информации можно пропустить что-то действительно важное. Тем не менее далее показано, как установить AnonSurf в Kali Linux. Основная часть функциональности сохранена, но команда «dns — Замена вашего DNS на сервера OpenNIC DNS» работать не будет!

Установка AnonSurf в Kali Linux

Показ своего внешнего IP адреса:

Запуск редиректа всего трафика через сеть Tor:

Прекращение редиректа трафика через Tor:

Nipe — это скрипт, который делает сеть Tor вашим шлюзом по умолчанию.

Этот скрипт на Perl позволяет вам напрямую направлять весь ваш трафик с вашего компьютера в сеть Tor, через которую вы можете анонимно выходить в Интернет, не беспокоясь о том, что за вашим IP будут следить или вас смогут вычислить по IP.

В настоящее время Nipe поддерживает только IPv4, но ведутся работы для добавления поддержки IPv6.

TOR Router

Tor Router позволяет использовать сеть Tor как прозрачный прокси и отправлять весь ваш трафик, в том числе DNS запросы, через Tor. Сеть Tor станет шлюзом по умолчанию для всех Интернет-соединений, что увеличит приватность/анонимность за счёт минимальных усилий. Скрипт будет работать на любой системе, использующей systemd (если вы хотите использовать этот инструмент как службу) и tor.

TOR Router не меняет системные файлы, как это делают другие инструменты для маршрутизации вашего трафика, благодаря минимальному воздействию на систему, в случае ошибки в службе TOR Router или после удаления этого инструмента, ваша остальная система не будет затронута.

В данный момент Tor-router поддерживает только IPv4 трафик, но автор планирует добавить поддержку и IPv6.

TorIptables2

Скрипт Tor Iptables — это анонимайзер, который настраивает iptables и tor для перенаправления всех служб и трафика, включая DNS, через сеть Tor.

Более подробно об этом скрипте я уже рассказывал в статье «Как быстро поменять IP в Linux».

autovpn

Эта программа добавлена в качестве бонуса — autovpn также позволяет быстро сменить IP адрес, но вместо Tor использует случайный публичный OpenVPN из указанной страны. Больше подробностей в статье «Как быстро поменять IP в Linux».

Рассмотрим ещё несколько вариантов использования сети Tor.

Tor Browser

Tor Browser — является полностью настроенным и портативным браузером, для просмотра веб-сайтов через сеть Tor. Плюсы этого варианта — дополнительные меры для анонимности.

Минусы вытекают из плюсов: чем больше мер для анонимности, тем неудобнее пользоваться.


У вас есть старенький (или не очень) компьютер с двумя сетевыми картами? Вам надоела реклама и лишние телодвижения для обхода блокировок? Вы не хотите с этим мириться? Тогда добро пожаловать под кат.

Настроить интернет шлюз таким образом, чтобы клиенты внутри локальной сети без дополнительных настроек работали с интернетом без ограничений. К заблокированным сайтам доступ будет осуществляться через тор, к остальным через обычное интернет соединение. К .onion ресурсам доступ из любого браузера как к обычным сайтам. В качестве бонуса, настроим блокировку рекламных доменов и доступ к условно заблокированным сайтам через тор (имеются в виду сайты, которые ограничивают функциональность для пользователей из РФ). Мой интернет провайдер чтоб тебе икнулось осуществляет перехват DNS запросов и подмену адресов (т.е. при резольвинге запрещенных сайтов возвращает адрес своей заглушки), поэтому все DNS запросы я отправляю в тор.

Все что описано ниже помогает обойти блокировки, но НЕ ОБЕСПЕЧИВАЕТ анонимности. От слова совсем.

Идеи и способы реализации взял отсюда и отсюда. Авторам этих статей большое спасибо.

Итак поехали

Предполагается, что на начальном этапе у вас уже есть установленная ОС (в моем случае Ubuntu server 16.04) на компьютере с двумя сетевыми интерфейсами. Один из которых (у меня это ppp0) смотрит в сторону провайдера, а второй (у меня это enp7s0) в локалку. Внутренний IP шлюза 192.168.1.2. Локальная сеть 192.168.1.0/24.

Как подойти к этому этапу в данной статье не рассматривается, так как информации в сети более чем достаточно. Скажу только, что pppoe подключение к провайдеру удобно настраивать утилитой pppoeconf.

Подготовительный этап

Если вы, как и я, используете н<е|оу>тбук, то возможно вам захочется, чтобы он не засыпал при закрытии крышки.

Разрешаем форвардинг в ядре. Я за одно отключил IPv6.

Применим изменения без перезагрузки.

Настройка DHCP

Мы хотим, чтобы клиенты настраивались автоматически, поэтому без DHCP сервера не обойтись.


Приводим файл примерно к такому виду.

subnet 192.168.1.0 netmask 255.255.255.0 — определяет сеть и маску,
range 192.168.1.100 192.168.1.200; — диапазон адресов, который будет выдаваться сервером,
option routers 192.168.1.2; — адрес шлюза
option domain-name-servers 192.168.1.2, 8.8.8.8; — адреса DN серверов
option broadcast-address 192.168.1.255; — широковещательный адрес.

Настройка TOR

Устанавливаем и открываем настройки.

Настройка DNS

Если вам не нужна блокировка рекламы, то данный пункт можно не выполнять. Если вы хотите просто пользоваться DNS от тора, добавьте в файл /etc/tor/torrc строку DNSPort 0.0.0.0:53 и всё.

Но я буду резать рекламу, а значит устанавливаем и открываем настройки


Приводим файл к следующему виду

Теоретически должно работать по шустрее, чем через тор.
К дальнейшей настройке DNS вернемся чуть позже. Пока этого достаточно. А сейчас перезапустим службу.

Настройка iptables

Вся магия будет твориться именно здесь.

  1. Формируем список IP адресов на которые мы хотим ходить через тор.
  2. Заворачиваем запросы к этим адресам на прозрачный прокси тора.
  3. Заворачиваем DNS запросы к ресурсам .onion на DNS тора
  4. Тор при резольвинге имен из зоны .onion возвращает IP адрес из подсети 10.0.0.0/8 (которую мы указали при настройке ТОР). Разумеется, эта зона не маршрутизируется в интернете и нам нужно завернуть обращения на эту подсеть на прозрачный прокси тора.

Изначально я полагал, что можно обойтись без перенаправления DNS запросов к .onion в iptables. Что можно настроить bind таким образом, чтобы он перенаправлял запросы на тор DNS и возвращал адреса из 10-й зоны. У меня не получилось так настроить.

Полагаю, что iptables уже установлен. Устанавливаем ipset. С помощью этой утилиты мы сможем управлять списком заблокированных адресов и заворачивать пакеты в прозрачный прокси тора.


Далее последовательно из под рута выполняем команды по настройке iptables. Разумеется вам нужно заменить имена интерфейсов и адреса на свои. Я поместил эти команды в /etc/rc.local перед exit 0 и они выполняются каждый раз после загрузки.

После перезагрузки мы должны получить шлюз, который:

  • Выдает IP адреса и настройки сети клиентам.
  • Раздает интернет.
  • Резольвит имена через тор DNS.
  • Резольвит имена .onion и позволяет посещать эти ресурсы через обычный браузер.
  • Закрывает нас от входящих подключений.

Заполняем blacklist

Создаем каталог в котором будет лежать скрипт.

Делаем скрипт исполняемым

создаем файл my-blacklist, который в дальнейшем будем наполнять вручную теми ресурсами, на которые хотим ходить через тор.

Скрипт работает долго, будь пациентом be patient. Теперь должна открываться флибуста должны работать заблокированные сайты. Добавляем в конец файла /etc/rc.local, но перед exit 0

Настраиваем фильтр рекламы

Приступим. Займемся севером. Создаем файл

делаем его исполняемым


Создаем файл инициализации сервера


Теперь создаем скрипт обновления рекламных доменов


Делаем его исполняемым


Создаем файл зоны


со следующим содержимымсервис


Добавляем в файл


Настраиваем обновление списка доменов при загрузке. Для этого открываем файл /etc/rc.local и добавляем после sleep 60

Последние штрихи

Для периодического обновления списков, создадим файл


Со следующим содержимым


Делаем его исполняемым

Замечание для пользователей десктопных версий Ubuntu

Несмотря на то, что целью было создать шлюз, который не требует настроек клиентов, в моем случае получилось не совсем так. В качестве рабочей операционной системы я использую десктопную Ubuntu 16.04. Для настройки сети в ней используется утилита NetworkManager, которая по умолчанию настроена таким образом, что адрес DN сервера берется не с DHCP сервера, а устанавливается как 127.0.1.1:53. На этом порту висит dnsmasq и только по ему известным правилам резольвит имена. В обычной жизни это никак не мешает, а в нашем случае делает совершенно неработоспособной зону .onion


После перезагрузки все работает.

Заключение лишь бы не под стражу

Клиенты на андроид работают нормально без дополнительных настроек.
Windows не проверял, так как не использую, но думаю, проблем возникнуть не должно.
Ограничения для firefox и iOs описаны здесь

Прошу прощения за сумбурное изложение. Дополнения, исправления, замечания приветствуются.
Спасибо за внимание.

Сам я “мостами” никогда не пользовался, но сообщали, что скорость работы через преднастроенные узлы оставляет желать лучшего, поэтому в этой статье я расскажу, как поднять свой приватный bridge-узел для доступа к TOR. Но для начала рассмотрим варианты, которые предлагает клиент.

Какие мосты нам предлагает клиент

При первоначальной настройке Tor-browser нам должны предложить варианты: подключаться к сети напрямую, через прокси, а также должны быть доступен вариант “Tor is censored in my country”. Последнее нам и дает варианты настройки узлов-мостов.

1) Select an build-in bridge

Клиент будет использовать встроенный список мостов, в зависимости от выбранного т.н. Pluggable Transport. “Подключемый транспорт” выполняет обфускацию TOR-трафика для обхода систем, которые умеют детектировать тип трафика по содержимому.

torbridge1

torbridge2

3) Provide bridge i know

Ну, пожалуй на этом моменте приступим к поднятию своего собственного моста в сеть TOR.

Наводим мосты

Найти способ никуда не публиковать данные моста найден. В разделе “рекомендации” также указано, что неплохо бы отключить любые соединения на выход из сети Tor, так как мост должен выполнять только посреднеческую роль между клиентом и сетю Tor.

Итак, приступим к установке. По установке Tor на сервер есть замечательные инструкции - Installing Tor on Debian/Ubuntu и Installing Tor Source, а также описана установка на Ubuntu Server 16.04 в статье “Настройка универсального узла связи для выхода в оверлейные сети”.

После установки останавливаем Tor командой:

Открываем файл torrc (на Ubuntu он лежит в /etc/tor/torrc ) и задаем следующие параметры:

Создаем файл для логов и вешаем ему пользователей, под которыми работает Tor:

Если в /var/lib/tor остался какой-либо кеш - вычищаем его:

На этом настройка закончена. Запускаем Tor, недолго ждем для “прогрева” узла:

Настроим Tor-браузер. Находим в настройки TORа в браузере, выбираем Tor is censored in my country -> Provide bridge i know , вводим данные нашего узла - <IP-адрес>:<порт> . Вбивается тот, который указывали в настройке ORPort . ID-узла вводить ненужно.

torbridge4

Обфускация трафика

Теперь неплохо бы подключить обфускацию трафика. Установим obfs4, так как, согласно статье Tor: Pluggable Transports:
obfs4 is currently the most effective transport to bypass censorship.

Откроем статью obfs4proxy bridge deployment guide и согласно ей установим пакет obfs4proxy :

Дополняем torrc следующими настройками:

Перезапускаем Tor, недолго ждем когда он запустится:

Теперь снова заходим в настройки Tor-браузера. Нужно забить настройки моста с использованием obfs4, и забивается он в формате, описанного в инструкции obfs4proxy bridge deployment guide/Post-install:

1) obfs4 - используемый “Pluggable transport”.

2) <IP ADDRESS>:<PORT> - берем из настройки ServerTransportListenAddr в конфиге torrc сервера .

3) <FINGERPRINT> - берем из файла /var/lib/tor/fingerprint
Выполняем:

Берем строку из 41 символа после “Unnamed”, подставляем в строку настройки моста

4) cert=<CERTIFICATE> iat-mode=0 берем из файла /var/lib/tor/pt_state/obfs4_bridgeline.txt
Выполняем:

Забираем последюю нужную нам часть, подставляем в строку настройку моста.

Итого получается такое:

torbridge5

В конце следует упомянуть, что помимо obfs4 есть и другие методы обфускации, такие как meek, fte, scramblesuit, snowflake. Этими транспортами можно использовать не только для скрытия Tor-трафика, но и для других приложений, но об этом, пожалуй, в следующей статье.

Значения параметров AccountingMax и BandwidthRate применяются к функциям как узла Tor, так и клиента. Как только Tor впадет в спячку (гибернацию), вы можете остаться с неработающим браузером. В журнале появится такая запись:

Решение вопроса – запускать два процесса Tor: один для узла, второй клиентский, и у каждого свои настройки. Один из способов сделать это (если вы начали с настройки рабочего Tor-узла):

  • В файле "torrc" узла Tor просто установите SocksPort на 0.
  • Создайте новый клиентский файл "torrc" из "torrc.sample" и убедитесь, что он использует другой лог-файл узла. Например, "torrc.client" и "torrc.relay".
  • Измените клиент Tor и стартовые скрипты узла; включите -f /path/to/correct/torrc .
  • В Linux/BSD/mac OS X изменение стартовых скриптов на Tor.client и Tor.relay может упростить разделение настроек.

Как настроить исходящие фильтры на моем узле?

Все исходящие соединения должны быть разрешены. Каждый узел должен иметь возможность связаться с любым другим узлом.

Операторы узлов Tor во многих юрисдикциях защищены теми же общими законами о коммуникациях, которые снимают с провайдеров доступа к интернету ответственность за информацию третьих лиц, передаваемую через их сети. Выходные узлы, которые фильтруют трафик, скорее всего, не подпадают под такую защиту.

Tor выступает за свободный доступ к сети без какого-либо вмешательства. Выходные узлы не должны фильтровать трафик, который проходит через них в интернет. Выходные узлы, уличенные в фильтрации трафика, получают флаг BadExit.

Почему мой узел передает в сеть больше данных, чем получает?

Чаще всего байт на входе в узел Tor означает и байт на выходе. Но есть несколько исключений.

У операторов выходных узлов есть еще одно небольшое исключение. Иногда вы получаете совсем немного данных (например, для мессенджера или SSH) и упаковываете их в полноразмерный 512-байтовый пакет для передачи через сеть Tor.

Почему мой узел Tor потребляет столько памяти?

Ваш узел Tor использует больше памяти, чем вам бы хотелось? Вот почему это может происходить:

  • Если вы используете Linux, вероятны проблемы фрагментации памяти в реализации функции "malloc" в библиотеке "glibc". Иными словами, когда Tor освобождает память для системы, кусочки памяти настолько фрагментированы, что их сложно использовать повторно. Архив исходных кодов Tor поставляется с реализаций функции "malloc" из OpenBSD. В ней меньше проблем с фрагментацией, но выше нагрузка на процессор. Можно указать Tor использовать эту реализацию функции "malloc" следующим образом: ./configure --enable-openbsd-malloc .
  • Если у вас быстрый узел (много открытых TLS-соединений), вы наверняка теряете много памяти на внутренние буферы библиотеки OpenSSL (по 38+ Кб на соединение). Мы изменили OpenSSL, чтобы библиотека активнее освобождала неиспользуемые буферы. Если вы используете OpenSSL 1.0.0 или более позднюю версию, процесс сборки Tor автоматически использует эту возможность.
  • Если потребление памяти по-прежнему велико, попробуйте уменьшить пропускную способность, анонсируемую вашим узлом. Анонс меньшей пропускной способности привлечёт меньше пользователей. Узел не так сильно будет потреблять память. Подробнее опция MaxAdvertisedBandwidth описана в руководстве.

Быстрые узлы Tor обычно потребляют довольно много памяти. Быстрый выходной узел вполне может требовать 500-1000 Мб памяти.

Я работаю за NAT / брандмауэром

См. инструкции по настройке проброса портов в вашем маршрутизаторе.

Если ваш узел запущен во внутренней сети, вам потребуется настроить проброс портов. Forwarding TCP connections is system dependent but the firewalled-clients FAQ entry offers some examples on how to do this.

Например, так можно настроить брандмауэр GNU/Linux на базе iptables:

/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port 9001 -j ACCEPT

Вам может потребоваться изменить "eth0", если у вас несколько внешних сетевых интерфейсов (подключенных к интернету). Скорее всего, у вас он только один (за исключением интерфейса loopback), и определить его должно быть не слишком сложно.

Почему нагрузка на мой узел невелика?

Если ваш узел относительно новый, дайте ему время. Tor эвристически выбирает узлы для использования на основе данных контролирующих узлов. На контролирующих узлах собирается информация о пропускной способности вашего узла. Контролирующий узел направляет на ваш узел больше трафика, пока его загрузка не станет оптимальной. О том, как действует новый узел, подробно рассказано в нашем блоге. Если ваш узел действует уже какое-то время, а проблемы остаются, попросите совет в списке "tor-relays".

Насколько стабильно должен работать мой узел?

Мы хотим, чтобы организация узла Tor была простой и удобной:

  • Ничего, если узел иногда оказывается офлайн. Управляющие узлы быстро замечают эту проблему и перестают использовать ваш узел. Постарайтесь, чтобы это не происходило слишком часто. Ведь любое соединение, которое использовало ваш узел в момент выхода его из строя, прервётся.
  • У каждого узла Tor есть политика исходящего трафика. В ней определяется, какие типы исходящих соединений разрешены (или не разрешены) для этого узла. Если вы не хотите, чтобы люди могли использовать ваш узел как выходной, настройте эту политику так, чтобы разрешать только подключения к другим узлам Tor.
  • Ваш узел в пассивном режиме будет оценивать и анонсировать вашу недавнюю пропускную способность. Узлы с высокой пропускной способностью привлекают больше пользователей, чем узлы с низкой пропускной способностью. Но последние тоже полезны.

Как можно ограничить полосу пропускания на узле Tor?

В файле torrc можно указать следующие две опции:

BandwidthRate – максимальная выделяемая полоса пропускания (в байтах в секунду). Например, вы можете установить "BandwidthRate 10 MBytes" для 10 мегабайт в секунду (быстрый интернет) или "BandwidthRate 500 KBytes" для 500 килобайт в секунду (неплохое кабельное подключение). Минимальное значение BandwidthRate – 75 килобайт/с.

BandwidthBurst – пул байтов, который используется в случае кратковременного пика трафика выше BandwidthRate. При этом в среднем полоса пропускания на продолжительном отрезке времени остается ниже BandwidthRate. Низкое значение Rate при высоком Burst обеспечивает соблюдение ограничения "в среднем", при этом пропуская пиковые объёмы трафика, если средние значения не достигали лимита в последнее время. Например, если вы установите "BandwidthBurst 500 KBytes" и используете то же самое значение для BandwidthRate, то вы никогда не будете использовать более 500 килобайт в секунду. Если же вы установите BandwidthBurst выше (например, "5 MBytes"), это позволит пропустить больший поток, пока пул не будет исчерпан.

Если у вас ассимметричное соединение с интернетом (исходящий канал меньше входящего), например, кабельный модем, вам лучше сделать BandwidthRate меньше меньшего (обычно меньше ширины исходящего канала). Иначе может случиться, что вы будете терять много пакетов данных в моменты максимальной нагрузки на канал. Возможно, стоит поэкспериментировать с разными значениями и опытным путем определить, какие настройки обеспечат комфортное подключение. Затем укажите BandwidthBurst равным BandwidthRate.

Если узел Tor находится на компьютере Linux, у владельца есть еще один вариант. Он может установить низкий приоритет трафика Tor по сравнению с остальным трафиком на компьютере. Таким образом увеличение загрузки канала Tor не скажется на личном трафике владельца. A script to do this can be found in the Tor source distribution's contrib directory.

Также, у Tor есть опции спячки (гибернации): с их помощью вы можете ограничить объем передачи данных через Tor за отрезок времени (например 100 гигабайт в месяц). Они описаны ниже.

Обратите внимание, что BandwidthRate и BandwidthBurst указываются в байтах, а не битах.

Я хочу поддерживать более одного узла Tor

Прекрасно. Если вы станете поддерживать сразу несколько узлов, чтобы помочь сети, мы будем очень рады. Но, пожалуйста, не включайте несколько десятков узлов в рамках одной сети. Всё-таки ключевые характеристики Tor (помимо прочих) – распределённость и разнообразие.

Если вы решили поддерживать более одного узла, пожалуйста, используйте опцию "MyFamily" в "torrc" для каждого узла. Перечислите ваши узлы через запятую:

Здесь каждый fingerprint – 40-значный идентификационный отпечаток (без пробелов).

Таким образом клиенты Tor будут стараться использовать в каждой своей цепочке не более одного из ваших узлов. Следует использовать опцию MyFamily, если у вас есть административный контроль над компьютерами или сетью, даже если эти компьютеры географически находятся в разных местах.

Могу ли я запустить узел Tor, имея динамический IP-адрес?

Tor вполне работает с динамическими IP-адресами узлов. Just leave the "Address" line in your torrc blank, and Tor will guess.

Стоит ли мне организовывать узел Tor?

Мы ищем людей с относительно стабильным интернетом, готовых поделиться как минимум 10 Mбитi/с в обе стороны. Если это вы, пожалуйста, подумайте о том, чтобы поддерживать у себя узел Tor.

Даже если у вас нет этих 10 Мбит/с, вы можете помочь сети Tor, если станете поддерживать у себя мост Tor с obfs4. В этом случае понадобится минимум 1 Мбит/с в обе стороны.

Как работают офлайновые идентификационные ключи ed25519? Что мне нужно про это знать?

  • Есть главный идентификационный секретный ключ ed25519 – файл с названием "ed25519_master_id_secret_key". Это самый важный ключ. Убедитесь, что сделали резервную копию и храните ее в надёжном месте. Этот файл уязвим и нуждается в защите. Tor может его для вас зашифровать, если вы создадите ключ вручную и в ответ на запрос укажете пароль.
  • Для использования в Tor генерируется среднесрочный подписывающий ключ с названием "ed25519_signing_secret_key". Кроме того, создается сертификат "ed25519_signing_cert". Он подписан главным идентификационным секретным ключом и подтверждает, что среднесрочный подписывающий ключ актуален в определённый промежуток времени. По умолчанию этот промежуток – 30 дней, но его можно настроить в файле "torrc" с помощью параметра "SigningKeyLifetime N days|weeks|months".
  • There is also a primary public key named "ed25519_master_id_public_key", which is the actual identity of the relay advertised in the network. Этот ключ не нуждается в защите. Его можно вычислить, зная "ed5519_master_id_secret_key".

Tor нужен доступ только к среднесрочному ключу подписи и сертификату в пределах их срока действия. Таким образом, главный секретный идентификационный ключ узла Tor может храниться вне папки "DataDirectory/keys", например, на съёмном носителе или на другом компьютере. Вам придется вручную обновить среднесрочный ключ подписи и сертификат до истечения их срока действия, в противном случае процесс Tor на узле завершится по его истечении.

Эта опция не является обязательной. Вы можете использовать её по необходимости. Если вы предпочитаете, чтобы ваш узел работал продолжительное время без регулярного ручного обновления среднесрочного подписывающего ключа, лучше оставить главный секретный идентификационный ключ узла в папке "DataDirectory/keys". Просто сделайте резервную копию этого ключа на случай переустановки. Если вы хотите использовать эту опцию, вам может пригодиться наше подробное руководство.

Как лучше установить Tor: из менеджера пакетов или из исходных кодов?

If you're using Debian or Ubuntu especially, there are a number of benefits to installing Tor from the Tor Project's repository.

  • Настройка ulimit -n устанавливается в 32768; этого достаточно для поддержания всех необходимых Tor-соединений.
  • Для Tor создается выделенный пользователь. Поэтому Tor не нужно запускаться в режиме суперпользователя (root).
  • Tor добавляется в автозагрузку соответствующим init-скриптом.
  • Tor запускается с опцией --verify-config . Так отлавливается большинство опечаток в конфигурационном файле.
  • Tor может начать c привилегированных портов, а потом сбрасывать привилегии.

Как запустить промежуточный или входной узел на Debian?

О том, как запустить и поддерживать узел, подробно рассказано в соответствующем разделе нашего руководства.

В последнее время интерес к анонимной сети Tor постоянно растёт. И этому есть немало причин..

«Демократические реформы» в мире идут полным ходом. Правительства практически всех стран теперь искренне считают себя вправе решать, куда ходить своим гражданам, что смотреть и что читать. Пачки законов, «из самых лучших побуждений» штампуемые думами, радами и парламентами, всё резче определяют границы резерваций, в рамках которых теперь только и возможно существование пользователей в глобальной Сети.

«Ты туда не ходи - сюда ходи. А то снег башка попадёт - совсем мёртвый будешь» ©«Джентльмены удачи».

Ещё одним напрягающим моментом становятся не прекращающиеся разоблачения Эдварда Сноудена, из которых ясно, что тотальная слежка спецслужб за всеми и каждым приобрела уже поистине всемирный размах. Разумеется, подавляющему числу людей нечего скрывать, но крайне неприятно осознавать, что ты находишься под постоянным колпаком спецуры, каждый твой шаг отслеживается и фиксируется, и кто-то регулярно пытается поковыряться своими шкодливыми ручонками в твоём «грязном белье». И абсолютно наплевать, с какой целью он это делает, благие или нет у него намерения.

Зачем он нужен, этот Tor?

Всё больше людей пытаются сохранить неприкосновенность своей частой жизни от длинного носа спецслужб. Всё больше людей пытаются избавиться от «отеческой заботы» чиновников от государства и хотят реализовать своё конституционное право самостоятельно решать, куда ходить, что выбирать, куда смотреть и что делать.

И тут на помощь им приходит анонимная сеть Tor. Поскольку она может обеспечить отдельно взятому индивидууму значительное ослабление навязчивого внимания, попутно снимая почти все ограничения на перемещения по Всемирной Паутине. Tor скроет вашу личность в Сети, скроет всё то, что вы делали в Интернете и куда ходили.

Кроме того, сеть Tor имеет и ещё один небольшой практический бонус. Она достаточно часто позволяет обойти такую досадную вещь, как бан по IP на различных сайтах. Мелочь, а приятно.

Что такое Tor, и как оно работает

Итак, что же такое анонимная сеть Tor. Tor - это аббревиатура The Onion Router (не знающим буржуйского, но любопытным - смотреть перевод в онлайн-переводчиках). Если кого-то интересуют нудные технические подробности, пусть топает на страницу Tor-а в Википедии и разбирается. Хочется чуток попроще - на такую же страницу на Луркоморье. Я же попытаюсь наскоро объяснить «на пальцах».

Хоть эта сеть и функционирует на базе обычного интернета, но в ней все данные не идут напрямую от тебя к серверу и обратно, как в «большой» сети, а всё прогоняется через длинную цепочку специальных серверов и многократно шифруется на каждом этапе. В результате конечный получатель, то есть ты, для сайтов становится полностью анонимен - вместо твоего реального адреса высвечивается абсолютно левый IP, не имеющий к тебе никакого отношения. Все твои перемещения становится невозможно отследить, как и то, что ты делал. И перехват твоего трафика тоже становится совершенно бесполезным.

Это в теории. На практике иногда не всё так радужно. Но обо всех возможных проблемах поговорим чуть позже. Тебе ведь уже надоело длинное и занудное вступление, правда? Не терпится поскорее поставить и попробовать это чудо? Ну что ж, поехали!

Начнём использовать Tor?

Tor - достаточно сложное в плане установки и настройки приспособление. И во времена не столь стародавние подключение к ней обычного «чайника» становилось задачей отнюдь не тривиальной. Однако сегодня всё гораздо проще. Умные и добрые люди взяли все необходимые модули, собрали их в согласованную кучку, настроили всё как надо и запихали это в единый пакет. Пакет этот называется Tor Browser Bundle. И после скачивания вся возня с ним сводится к обычной распаковке и последующему топтанию кнопки «Хочу Tor!». И Tor появляется.

Разумеется, компьютерные гики и те, кому нечем заняться либо хочется потешить своё ЧСВ, как и прежде могут скачать все нужные модули по отдельности и грызть многостраничную техническую «камасутру», пытаясь связать всё это в единое целое, и хоть как-то настроить и запустить полученную конструкцию. Пожелаем им удачи, а сами займёмся более благодарным делом.

Итак, скачать Tor Browser Bundle проще всего с наших страниц. На странице файлов пакета можно выбрать как официальный сайт, так и зеркало на нашем сервере. Файлы одинаковые - выбираем любую ссылку и качаем.

Затем приступаем к установке. Необходимо заметить, что независимо от имеющегося расширения .exe, этот пакет не является программой, которую требуется устанавливать. Это портативная версия - просто архив, который надо всего лишь распаковать в любое место. Затем распакованную папку можно перетаскивать куда угодно и оттуда запускать. Запускай хоть с флешки - всё будет работать.

Кликаем дважды на файле, и процесс пошёл. По дефолту архив Tor Browser Bundle просится, чтобы его распаковали на Рабочий стол. Вариант, имхо, не самый удачный. Но если кого это устраивает - пусть всё так и оставляет. По мне же, так удобнее изменить путь и распаковать его в специально подготовленную для этого папку. Например, как на скрине.

Сеть Tor для начинающих. Просто подключаем и пользуемся

При желании прямо в окне распаковщика меняем местоположение на то, куда нам хочется, и продолжаем давить кнопку «Далее» (Next) до конца распаковки.

На самом деле вопрос, куда распаковывать пакет с Tor-ом - это всего лишь вопрос личного удобства. Важно лишь запомнить, куда мы его запихивали, чтобы потом не потерять на своём винчестере - ведь чтобы запустить его, нам придётся самолично добраться до этой папки и ткнуть в стартовый файл. А вообще, вариант, когда многие программы заменены на свои портативные варианты и собраны в отдельной папке на диске, отличном от системного, весьма и весьма удобен. Проверено лично многолетней практикой.

Итак, распаковали. В самом последнем окне распаковщика видим галку на опции «Запустить . ». Хотите Tor сразу - оставьте её, хотите чуть позже - скиньте, потом в любой момент можно запустить ручками. Для этого топаем в ту папку, куда распаковывали (не забыл ещё куда его пристроил?) и находим в ней файлик Start Tor Browser.exe - это и есть стартовый файл, двойной клик по которому запустит всю эту анонимную конструкцию. Чтобы каждый раз не бродить по жёсткому диску, можно кинуть линк (ссылку/ярлык) на этот файл в любое удобное место, например, на тот же Рабочий стол или на панель Windows. В принципе, всё, что надо мы сделали - Tor Browser готов к работе и можно запускать в любой момент.

Дважды кликаем на стартовый файл, и процесс пошёл. Первым, что появляется - это вот это окно соединения:

Сеть Tor для начинающих. Просто подключаем и пользуемся

Кстати, в чуть более ранних версиях оно выглядело немного по другому:

Сеть Tor для начинающих. Просто подключаем и пользуемся

Но сути дела это не меняет - принцип один и тот же. Давим кнопку «Соединиться» и ждём. В первый раз это может оказаться довольно долго, порой до нескольких минут. Происходит подключение всей нашей конструкции к «луковой» сети и встраивание в неё. В другой раз этот процесс будет уже быстрее.

Вот такое вот окошко как раз и показывает, что происходит.

Сеть Tor для начинающих. Просто подключаем и пользуемся

Как только соединение произошло. и сеть нас приняла, запускается сам Tor Browser.

Если соединения почему-то не происходит, имеет смысл вернуться к самому первому окну и вместо соединения нажать кнопку «Настроить». Мастер проведёт тебя через несколько простых шагов и попытается подстроить Tor под твоё интернет-соединение (кликни на картинку, чтобы увидеть скриншот в полном размере).

Если уж и он не помог - тогда добро пожаловать в Google в поисках решения проблемы.

Ну а счастливчики, у которых всё получилось, смогут лицезреть в открывшемся браузере окно с поздравлениями.

Сеть Tor для начинающих. Просто подключаем и пользуемся

Советую на этой вкладке обратить внимание на ссылку «Проверка интернет-настроек Tor». Щелчок по ней поможет тебе окончательно убедиться, что ты на самом деле теперь в анонимной сети. Кстати, там же есть и линк на краткое руководство.

Сеть Tor для начинающих. Просто подключаем и пользуемся

Итак, ты теперь невидим. Однако, пока у тебя голова окончательно не закружилась от анонимности и мнимой безнаказанности, поспешу слегка испортить тебе настроение. Просто так, исключительно из личной вредности.

Я просто обязан рассказать тебе о некоторых «подводных камнях» сети Tor, чтобы в поисках приключений на свои «нижние полушария» ты не ушиб их об эти камни.

Немногоо безопасности в Tor

Итак, от чего Tor не сможет защитить. Tor не сможет защитить человека от собственной глупости. Если у человека в шейном наросте вместо мозгов одни опилки, либо он целенаправленно ищет себе проблемы, то эти проблемы он найдёт обязательно. И никакой Tor тут не поможет. Учись пользоваться мозгом и соблюдать элементарную осторожность. Ещё Tor не сможет защитить тебя от болтливых программ на твоём компьютере. Любой плагин или дополнение в браузере может в один момент всю твою анонимность «помножить на ноль». Да и сам браузер.

Именно поэтому в рассматриваемом нами пакете и используется специально допиленная версия Огнелиса. Кстати, о том, что и сама Windows представляет из себя один громадный троян и спайварь, кому-то ещё напоминать надо? (Линуксоиды тут могут вздохнуть свободно - их подобные детские проблемы «форточек» не волнуют ни разу). Ещё Tor не сможет защитить тебя от вирусов и хакеров. Ну не предназначен он для этого! Заведи себе нормальный антивирус и фаервол, правильно настрой их и научись пользоваться - и спи себе спокойно.

Основные проблемы анонимной сети Tor

Спецслужбы

Ещё одной - и, пожалуй, главной - проблемой сети Tor являются спецслужбы. Они никак не могут смириться с тем, что толпы юзеров свободно и бесконтрольно бродят по сети без их «всевидящего ока». И постоянно предпринимают всевозможные попытки изменить ситуацию. Попытки самые разные, вплоть до откровенно криминальных. До вирусных, хакерских атак и взломов, целенаправленного заражения софта и серверов троянами. Хоть и нечасто, но иногда их усилия заканчиваются успешно для них, И из «луковой» сети выпадают целые сегменты, а к кому-то из самых несчастливых (или самых глупых, либо самых наглых) выезжает «пативэн». Но ты ведь не собираешься заниматься в Tor-е чем-то криминальным, правда? Это всё к тому, чтобы ты не расслаблялся слишком уж откровенно и постоянно помнил, что Tor - не панацея, и любая анонимность относительна. А если уж решил играть в азартные игры с государством, то вопрос твоей поимки - лишь вопрос времени.

Чиновники

Кроме спецслужб, представляющих интересы государств, часто проблему для анонимной сети Tor представляют и чиновники от государства. Желание «держать и не пущать» в людях, дорвавшихся до власти, неистребимо. Изредка по отношению к некоторым вещам это желание вполне оправдано и справедливо, однако чаще всего - нет. И толика свободы, даруемая Tor-ом, действует на них как красная тряпка. В некоторых странах сеть Tor уже запрещена. Законодательно. Была такая попытка и в России. Пока лишь в варианте проекта. Станет ли этот проект законом и когда, мне неизвестно. На данный момент сеть Tor в России работает без ограничений. Запретят - найдётся вместо неё что-то ещё. Не буду тут выкладывать дословно народную мудрость на этот счёт, а скажу чуток помягче и обтекаемее: «На каждое действие найдётся своё противодействие».

Хакеры

Ещё одной напастью для Tor-а бывают хакеры. Некоторые из них идейные. а некоторые просто обкуренные до*** (пардон за непарламентское выражение). Периодически, чаще всего во время весеннего или осеннего обострения они устраивают «крестовые походы», пытаясь «очистить мир от скверны». При этом мнение самого мира их абсолютно не волнует. Им кажется, что они вправе решать за всех. Не так давно устраивался «поход» против, скажем так, нетрадиционного порно, в сети Tor. Дело в данном случае вполне богоугодное. Однако, вместе с порно была выпилена и куча абсолютно белых сайтов. Просто так, мимоходом. Да и кто сказал, что в следующий раз они ограничатся только этим? Так что знай, если твой любимый «луковый» сайт вдруг перестал открываться, то вполне возможно, что это действия одного из этих с воспалёнными мозгами.

Заражённые файлы

К хакерам вплотную примыкает проблема с заражёнными файлами самого Tor Browser-а. И здесь частенько проглядывают уши различных спецслужб, пытающихся вместо анонимной сети подсадить тебе своего трояна. Например, в App Store до сих пор предлагают скачать заражённый Tor Browser. Причём, администрация App Store извещалась об этом неоднократно ещё осенью. Однако, троян по-прежнему всё ещё там. Странная ситуация и странная медлительность. Правда, вся странность мигом пропадает, когда вспоминаешь, что нежная и трепетная дружба между корпорацией Apple и АНБ США крепнет день ото дня. Так что качай файлы самого Tor-а исключительно с официального сайта, либо с нашего портала - наш движок, фактически, тоже выдаст тебе файл напрямую с официального сайта.

Мелкие недостатки Tor

С обзором более-менее серьёзных проблем сети Tor покончено. Перейдём к мелким неприятностям. Про периодически пропадающие сайты я уже говорил. Теперь о русских сайтах в этой анонимной сети. Их мало. Но они уже есть, и их становится всё больше. И даже на многих иноговорящих форумах появляются разделы для русских. Так что где побродить и с кем там пообщаться ты найдёшь. Однако, основным языком в сети Tor пока ещё остаётся английский, и всё самое вкусное в этой сети на буржуйском. Хотя к твоим услугам всегда всевозможные словари и онлайн-переводчики.

Далее. Следует помнить, что сеть Tor принципиально никем не модерируется и никем не контролируется. Иногда кое-какой контроль встречается на отдельных сайтах, когда их владельцы устанавливают правила для своих посетителей. Но не более. Поэтому ты вполне можешь наткнуться на вещи, которые тебя шокируют. Будь к этому готов. Также в этой сети встречаются различные отморозки, откровенные шизоиды, маньяки и прочие уроды. Их полно и в «большом» инете, но в анонимной сети они чувствуют себя комфортнее и особо не стесняются. Их процент гораздо меньше, чем об этом нам пытаются вещать чиновники от власти, но они есть. И если у тебя имеются несовершеннолетние дети, я рекомендую оградить их от Tor-а.

И вообще, я настоятельно требую оградить Интернет от детей! Интернету это пойдёт только на пользу. Он от этого станет гораздо безопаснее.

Ну вот, в общем-то все страшилки рассказал. Напомню лишь про вирусы, от которых Tor тебя не защитит - предохраняйся сам. Ну и про анонимность ещё раз - стопроцентной она никогда не бывает, чаще используй своё серое вещество.

А на десерт небольшой список «луковых» сайтов, так сказать, для разгона.

Вкусности и бонусы - маленький список «луковых» сайтов

Кстати, если ты ещё не понял, то в Tor Browser можно открывать как обычные сайты «большого» Интернета, обходя некоторые неудобства, так и особые сайты анонимной «луковой» сети. Эти сайты находятся в специальной псевдодоменной зоне .onion (внимательно смотри на адрес). Из обычного инета они не открываются. Вообще. Только из запущенного и подключенного к сети Tor Browser-а.

Все ссылки даю в текстовом виде. Выделить мышкой, копировать, вставить в адресную строку. Для особо ленивых (или «продвинутых») - Ctrl+C / Ctrl+V.

Для начала хватит. Дальше сам.

Всяческие политико-революционно-партизанские ресурсы здесь не привожу намеренно. Кому надо, сам найдёт.

Читайте также: