И ГОСПОДИН ЛИСЯРЯ. КАК ПОВЕСТИТЬ ЛЕВЫЙ, ВЕЧНЫЙ ИСХОДЯЩИЙ ТРАФИК ОТ ВАШЕГО СЕРВЕРА на *NIX архитектуре.

TOR - замена обычного VPN


Tor это сеть виртуальных туннелей, которые позволяют отдельным пользователям и группам людей улучшить свою приватность и безопасность в Сети. Для программистов Tor предоставляет возможность разрабатывать новые системы общения со встроенной защитой приватности. Tor даёт возможность широкому спектру приложений обмениваться информацией через публичные сети, не раскрывая при этом свою приватность.

На самом деле TOR-сети, это те-же самые туннельные сети VPN, только с большей пропускной способностью, если будет уместно такое сравнение, TOR-сети это p2p с поправкой на коннект, другими словами эти сети состоят из множества пользователей, которые составляют части этой сети, обмен трафиком которых идёт между собой и личными аплинками предоставляя конечным хостам мултикастовую маршрутизацию и достаточно серьёзную приватность за счет использования уменьшения TTL. Эти сети позволяют скрывать свой истинный адрес, однако, предоставляют широкий спектр возможностей и для нехороший пользователей сети, но и несут в себе варианты развития свободного ПО, на базе своей доступности и динамического развития. Представим, что мы хотим стать частью этой сети, не для того, чтобы написать каку-либо бяку про милицию и получить 1 год условно (если неправильно установить TOR) или поломать сайт майкрософт (если ты, уважаемый читатель думаешь, что тебя не поймают, знай ты ошибаешься, тебя будет очень просто вычеслить по-TTL, который будет равен примерно 19-20 секундам, грамотный администратор раскусит тебя в два счета, однако внутренность пакетов смотреть не сможет ибо TOR-шифрует трафик, администратор будет знать, что у тебя TOR, но куда и зачем ты лезеш он догадается не сразу, максимум, что он сможет прослушать трафик с 9050 порта, это в том случае, что ты лапух и не запретил ICMP-ответы со всех портов через ipfw deny log icmp from any to any), а для того, чтобы злой сосед не спалил пароли к icq-клиенту и не украл у нас пароль на рабочее мыло. Что нам для этого нужно будет установить и настроить:

1)Сам TOR
2)SOCKS-прокси - privoxy
3)Плагин xpi-torbutton для firefox3

Для этого мы сначала начнем обновлять порты, выполнив

portsnap fetch update

после завершения обновления портов установим TOR, выбрав все пункты кроме последнего пункта - Vidalia (он потянет за собой qt4-xml и всё с ним зависимое, кроме этого, есть неисправленный баг, который закончит всё на Error Code 1):

cd /usr/ports/security/tor && make install clean


после того как установился TOR, нам нужно будет поставить web-proxy, которая будет нам необходима для контроля над контентом с посещенных ресурсов (куки, временные файлы и другой мусор), установим её:

cd /usr/ports/www/privoxy && make install clean

после того, как всё установилось идём и копируем исходный конфиг TOR в свой и начинаем его редактирование:

cp /usr/local/etc/tor/torrc.sample /usr/local/etc/tor/torrc && vi /usr/local/etc/tor/torrc

SocksPort 9050 #Биндим порт на
SocksListenAddress 127.0.0.1 #адрес localhost
ReachableDirAddresses *:80 #разрешаем соединения
ReachableDirAddresses *:443 #со стандартными серисами web
KeepalivePeriod 30 #Время обновления маршрутов TOR

сохраняемся и выходим, для того чтобу установить плагин к firefox:

cd /usr/ports/www/xpi-torbutton && make install clean

после установки плагина к firefox, который позволит нам использовать tor сразу без дополнительных настроек нам нужно устроить перенаправление к privoxy:

echo "forward-socks4a / localhost:9050 ." >> /usr/local/etc/privoxy/config


закончив с настройками следует добавить нашу прелесть в автозагрузку, выполнив:

echo "privoxy_enable="YES"" >> /etc/rc.conf && echo "tor_enable=YES" >> /etc/rc.conf

после чего создадим базу для TOR:

mkdir /var/db/tor && chown _tor:_tor /var/db/tor

разрешим соединения к самому себе, добавив в /etc/rc.firewall строки:

ipfw add allow tcp from any to me 8118
ipfw add allow tcp from any to me 9050

перезагружаемся и радуемся ровно до того момента, пока матерый дядя админ-юниксоид-кошатник не раскусил нашу с Вам адскую подмену ip-адреса, за которую он запросто отрубит нас от тырнета без пояснения причин, по-этому, делаем установку nginx:

cd /usr/ports/www/nginx && make install clean

после установки идём и редактируем конфиг nginx:

vi /usr/local/etc/nginx.conf

location / {
proxy_pass http://localhost:666/;
proxy_redirect default;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
и добавляем в конфиг torrc строку:
echo "HttpProxy 192.168.0.189:666" >> /usr/local/etc/tor/torrc

Вот проде бы и всё, однако стоит заметить, что подобные штуки в локальных сетях, у
поставщиков etth, у толстых провайдеров и хостеров мягко-говоря не приветствуются и
если уж случилось такое, что Вас спалили на использовании подмены ip-адреса, то стоит
прикинутся дохлой вороной и утверждать, что Вы подцепили непонятный вирус и вообще остались
без доступа из-за того, что словили какого-либо штормового червя или другую сифозную
гадост-пидерсию, Вам не поверят и пошлют далеко и надолго, однако, нет такой сети в которой
нету вирусов и провайдер будет обязан задумаются, но он этого не будет делать, потому,
что такое добро как TOR, VPN, GRE, IPSEC, у провайдеров фиксируется на уровне фрагментации
и Вас спалят достаточно быстро, если не автоматически, например на кошках это делается
аналогично port-security, с помощью IOS Content Filtering, посему стоит использовать
динамические proxy-листы, которые пихать по-крону в конфиг torrc, но как это делается
я писать не буду, кому надо - сами додумаются =) А вот как поймать засранчега,
использующего TOR, можно посмотреть по следующей ссылке:

http://forum.lissyara.su/viewtopic.php?f=4&t=9648

На последок, как любит говорить Лисяра:

Убей всех, бог потом рассортирует. )))