Tor - система запутанных прокси-серверов, маскирующая пребывание пользователя в интернете. Обычно её используют в специальном браузере (который так и называется - Tor Browser), однако её можно добавить и в более привычный большинству пользователей Google Chrome. Для этого потребуется лишь установить и настроить несколько расширений.
Сначала установите расширение Kronymous . Его значок появится во вкладке chrome://apps. Запустите Kronymous и нажмите OK под инструкцией по использованию, а затем "Start Tor Proxy". Дождитесь загрузки до 100% (если появится сообщение об ошибке, нажмите "Restart Tor Proxy"). Также не лишним будет установить галочку рядом с Autostart Tor Proxy - благодаря этому в случае потери связи с Tor будет автоматически установлено новое соединение. Не закрывайте терминал, иначе соединение с Tor будет потеряно.
Если на этом этапе проверить IP-адрес, ничего не изменится. Для того, чтобы скрыть его, нужно перенаправить браузер через прокси, а это можно сделать с помощью расширения Proxy Switcher Omega . Установите его, откройте настройки профилей, зайдите в раздел Proxy и укажите следующие параметры:
- Protocol: SOCKS5
- Server: 127.0.0.1
- Port: 9999
Нажмите "Apply changes", а затем на кнопку Proxy Switcher Omega справа от адресной строки и выберите профиль (например, proxy). Проверьте IP-адрес своего компьютера. Если он изменился, значит Tor работает и маскирует вас. У каждой новой вкладки будет свой IP.
Это не всё. Если вы не хотите оставлять на сайтах следы, по которым вас можно идентифицировать, отключите использование javascript. Это можно делать в настройках браузера или с помощью расширения
Что если вам хочется ходить в сеть без надуманных ограничений, но не хочется каждый раз в браузере подменять прокси? Что если вы хотите заходить и на запрещенные сайты, и на обычные, и чтобы при этом скорость, с которой открываются обычные сайты, не страдала? Что если вам интересно знать что творится в удалённых частях глобальной сети?
Исходя из этих соображений нам нужно чтобы:
- Обычные сайты открывались как обычно
- Запрещенные сайты открывались через Tor без настроек
- Все сайты в зоне.onion тоже открываются без настроек
С одной стороны, требования противоречивые. А другой стороны, чего не сделаешь ради удобства!
Можно было бы вспомнить различные способы и средства для обхода DPI , но если не хочется ни о чем таком думать, а скорей даже хочется настроить и забыть, то аналогов Tor для решения поставленной задачи в части простого доступа к заблокированным сайтам нет.
Вы не получите полной анонимности следуя только этим инструкциям. Анонимность без мер OPSEC невозможна. Инструкция подразумевают лишь обход ограничений.
Что нам нужно?
Для начала нам нужен или роутер, или сервер, работающий в качестве прозрачного моста, пропускающего через себя весь трафик. Это может быть и существующий сервер, это может быть и коробочка с Raspberry Pi. Могут подойти и обычные компактные роутеры с Linux, если на них в принципе можно поставить необходимые пакеты.
Если подходящий роутер у вас уже есть, то настраивать отдельно мост не нужно и можно .
Если же установка Tor на ваш роутер представляет проблему, то вам понадобится любой компьютер с двумя сетевыми интерфейсами и Debian Linux на борту. Его вы в конечном счёте подключите в разрыв сети между роутером, который смотрит во внешний мир, и вашей локальной сетью.
Если не до серверов и роутеров, то возможно .
Настроим мост
Настройка моста в Debian проблемы не представляет. Вам понадобится программа brctl , которая есть в пакете bridge-utils:
apt install bridge-utils
Постоянная конфигурация для моста задаётся в /etc/network/interfaces . Если вы делаете мост из интерфейсов eth0 и eth1 , то конфигурация будет выглядеть так:
# Отметим интерфейсы как настраиваемые вручную iface eth0 inet manual iface eth1 inet manual # Мост поднимается автоматически после перезагрузки auto br0 # Мост с получением IP по DHCP iface br0 inet dhcp bridge_ports eth0 eth1 # Мост со статическим IP iface br0 inet static bridge_ports eth0 eth1 address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1
Вам нужно выбрать какую-то одну конфигурацию для моста: с динамическим IP или статическим.
Обратите внимание что на этом этапе не обязательно включать сервер в разрыв сети. Можно обойтись и одним подключенным интерфейсом.
Попросим систему применить новые настройки:
service networking reload
Теперь можно проверить существование моста командой brctl show:
# brctl show bridge name bridge id STP enabled interfaces br0 8000.0011cc4433ff no eth0 eth1
Посмотреть выданный IP адрес, и проверить вообще факт выдачи какого-то IP по DHCP или статически, можно командой ip:
# ip --family inet addr show dev br0 scope global
4: br0:
Если с IP адресами всё в порядке, то уже можно попробовать включить сервер в разрыв сети...
В конце концов все устройства в вашей сети, будучи включены через сервер, должны иметь полный доступ к глобальной сети будто никакого сервера между ними и внешним роутером нет. То же касается работы DHCP и прочего. Всё это стоит проверить до перехода к настройке Tor.
Если что-то работает не так же, как раньше, или вообще не работает, стоит сначала решить проблемы, лишь потом переходить к настройке собственно Tor.
Настроим демон Tor
Установка Tor выполняется обычно. Установим также базу данных привязки к странам:
apt install tor tor-geoipdb
В конец файла конфигурации /etc/tor/torrc нужно дописать директивы для включения функции прокси-сервера:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Перезапустим Tor и проверим что DNS в нашей конфигурации работает на каком-нибудь известном сайте:
# service tor restart # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Последняя команда должна вывести IP из подсети 10.0.0.0/8 .
При перезапуске Tor по делу ругается на использование публичного IP для TransPort и DNSPort , которые в самом деле могут быть доступны посторонним. Исправим это недоразумение, разрешив только соединения из локальной сети (в моём случае это 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 5300 -j ACCEPT iptables -A INPUT -p tcp --dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Последние два правила можно пропустить если у вас для цепочки INPUT по умолчанию стоит правило DROP .
Настроим доступ для всей локальной сети
Чтобы все устройства в сети смогли зайти на сайты в Tor нам нужно переадресовать все запросы к выделенной сети 10.0.0.0/8 на порт встроенного прокси-сервера Tor:
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040
Два правила для цепочек PREROUTING и OUTPUT мы добавляем чтобы схем работала не только с устройств в сети, но и с самого сервера. Если не требуется чтобы эта схема работала с самого сервера, то добавления правила в цепочку OUTPUT можно пропустить.
Переадресация DNS запросов к зоне.onion
Эту проблему можно было бы решить либо заменой DNS сервера на свой в DHCP ответах клиентам, либо, если у вас в сети не принято использовать локальный DNS сервер, перехватом всего DNS трафика. Во втором случае не нужно будет ровным счетом ничего настраивать, но все ваши клиенты, и вы в том числе, потеряете возможность делать произвольные запросы к произвольным серверам. Это очевидное неудобство.
Мы же будем переадресовать лишь DNS запросы, упоминающие домен.onion , на порт встроенного DNS сервера, оставляя все остальные запросы в покое:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
Магическая строка 056f6e696f6e00 связана с особенностями передачи точки в DNS запросах : она передаётся в виде длины следующей после неё строки. Потому в начале нашей магической строки стоит 0x05 для пяти символов в слове onion . В конце строки стоит нулевой байт 0x00 потому что корневой домен (точка) имеет нулевую длину .
Такой подход позволяет ваши пользователям (и вам самим) пользоваться какими им удобно DNS серверами, а также запрашивать информацию у любых DNS серверов без посредников. Вместе с тем никакие запросы в зоне.onion не будут попадать в открытый интернет.
Теперь попробуйте достучаться до какого-нибудь популярного сайта в сети Tor с любого устройства в локальной сети. Например, так:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Moved Permanently Location: https://facebookcorewwwi.onion/
Отладка и решение возможных проблем
Если хочется убедиться что никакие DNS запросы к.onion не идут дальше сервера, то их отсутствие можно проверить так:
ngrep -q -d br0 -q -W byline onion udp port 53
В норме эта команда, выполненная на сервере, должна показать полное отсутствие пакетов - то есть не выводить ничего, чтобы вы не делали.
Если Firefox не видит.onion
Если вам это мешает, а перспектива случайной деанонимизации вас не волнует (ведь мы уже не пускаем DNS запросы к.onion в открытый интернет), отключить эту настройку можно в about:config по ключу network.dns.blockDotOnion .
Мобильный Safari и.onion
Программы под iOS, включая Safari и Chrome, в принципе игнорирует.onion при работе по такой схеме. Как исправить эту проблему в рамках такой схемы мне неизвестно.
Провайдер подменяет IP в DNS
Некоторые провайдеры из экономических соображений, вместо блокировки сайтов по IP или через DPI, лишь подменяют IP для DNS запросов по списку запрещенных сайтов.
Простейшим решением этой проблемы будет переход на сервера Google Public DNS . Если это не помогает, а значит ваш провайдер перенаправляет вообще весь DNS трафик на свой сервер, то можно перейти на использование Tor DNS, в свою очередь переадресовав весь трафик на него:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
В моей сети используются IP из 10.0.0.0/8
Нет проблем! Во всех директивах выше используйте какую-то другую подсеть из предназначенных для этого , исключая зарезервированные . Серьезно, обратите внимание на резервированные.
Кроме того, не обязательно использовать сразу весь диапазон - можно ограничиться и подсетью. Например, подойдет 10.192.0.0/10 .
Обход блокировок через Tor
Для выхода на заблокированные сайты через Tor прежде всего нужно убедиться что вы не меняете шило на мыло, используя выходные узлы подверженные тем же ограниченияем что и вы в силу географического нахождения. Это можно сделать указав в torrc выходные узлы в каких странах нельзя использовать.
ExcludeExitNodes {RU}, {UA}, {BY}
Обновляем реестр
Реестр не стоит на месте и список заблокированных сайтов пополняется. Потому вам нужно время от времени выгружать актуальный список IP и добавлять его в ipset . Лучше всего это делать не выгружая весь список целиком каждый раз, а выкачивая только изменения, например, отсюда c GitHub .
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git clone https://github.com/zapret-info/z-i.git . ipset flush blacklist tail +2 dump.csv | cut -f1 -d \; | grep -Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset add blacklist
Возможно удалять и добавлять только изменившиеся в списке IP, для чего вам может пригодится git whatchanged .
Если вам подходит скрипт выше, то ему самое место в /etc/cron.daily/blacklist-update . Не забудьте дать этому файлу права на выполнение.
chmod +x /etc/cron.daily/blacklist-update
Сохраняем настройки
apt install iptables-persistent
dpkg-reconfigure iptables-persistent
К сожалению, такого же удобного пакета для ipset пока нет, но эта проблема решается скриптом /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist create blacklist hash :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist blacklist
Обязательно нужно дать и этому скрипту права на выполнение:
chmod +x /etc/network/if-pre-up.d/ipset
При следующей перезагрузке этот скрипт выполнится и восстановит список заблокированных IP.
Если забыть о серверах...
Окей, скажите вы, ну а что если я хочу получить все тот же удобный доступ к.onion , но без серверов - локально, на одном компьютере?
Нет проблем! В этом случае все даже проще. Хватить добавить эти три строчки в torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Затем эти два правила для iptables:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
И можно проверять. Доступ к заблокированным сайтам настраивается по инструкции выше.
Ложка дёгтя
Несмотря на простоту и удобство этот подход наследует часть недостатков сети Tor.
На запрещенные сайты в сети вы заходите от имени выходных узлов , что даёт администраторам выходных узлов принципиальную возможность наблюдать ваш трафик и ваши пароли, если для доступа к целевому сайту не используется шифрование (должны быть https в начале адреса или зеленый замочек 🔒 в адресной строке).
Можно было бы понадеяться что администраторы таких узлов не будут следить за вами из соображений их собственного крепкого ночного сна, но...
Если вы заходите на какой-то сайт по незащещённому соединению, через Tor ли напрямую, нужно всегда иметь ввиду что ваши логины и пароли в принципе могут оказаться в папке с литерами на столке у человека в погонах.
Вот и все!
Что-то все еще непонятно? Что-то нужно исправить или что-то особенно понравилось? Напишите ниже в комментариях.
Я думаю что ни для кого не секрет что Tor Browser это отличное средство для анонимизации себя в интернете.
TOR BROWSER это тот же Firefox, но довольно таки хорошо доработаный...
В нем изначально уже многое доработано, а ненужное отпилено.
По своей сути это уже настроенный бесплатный браузер на анонимность в сети!
Но во всем этом есть и минус... Tor Browser заставляет нас работать только с TOR-прокси. а это не всегда удобно так как сервисы интернета шарахаются и блокируют пользователей TOR.
В общем в этой статье мы будем кромсать Tor Browser и делать из него Firefox для работы с SSH
Скачиваем TOR BROWSER c оф сайта.
https://www.torproject.org/
Устанавиваем (ставится как портативная версия)
Ради любопытства заглянем на страницу WHOER.NET
Как видно картинка не очень... с таким IP трудно где либо зарегистрироваться, да и любые платные сервисы открещиваются от вас. заставляя либо вводить постоянно вас капчи, или просто отказывают вам в регистрации или просмотре тех либо иных страниц.
Пишем строку about:preferences#advanced
заходим в меню СЕТЬ -> НАСТРОИТЬ
Первым делом убираем галочку "Удаленный DNS"
второе ставим точку "БЕЗ ПРОКСИ".
жмем ОК.
Пишем строку about:addons
заходим и отключаем TorLauncher
Пишем строку about:config
Находим строку
:tor
меняем на
browser.startup.homepage;about:home
Находим значение
extensions.torbutton.test_enabled;true
меняем
extensions.torbutton.test_enabled;false
Все!
Теперь браузер работает без прокси. В дальнейшем мы настроим его на работу с SSH. на примере программы SSH Tunnel Manager !!!
(вы можете настроить Bitvise или Plink.exe + Proxifier для работы с ssh тунелем) просто SSH Tunnel Manager все это в себе включает и вам только остается его один раз настроить и в дальнейшем пользоваться и с легкостью переходить от сервера к серверу. К тому же SSH Tunnel Manager может работать через TOR-сеть
Скачиваем программу
Скачать SSH Tunnel Manager
- Oткрываем ssh_list.txt в нем мы видим ssh аккаунты в виде
login:password@ip:port
записываем туда свой c чистым IP.
(Если у вас нет своего SSH, то интернет пестрит обьявениями о продажах: цены брутовых от 1 до 3 $, не брутовые 10$)
Открываем SSHManager.exe (обязательно с правами админа) и находим в списке наш вписанный SSH.
Далее нам нужно привязать SSH Tunnel Manager с браузером который мы настроили. Заходим в Options
1) ставим галочку Proxify whait list only (этим мы показываем что проксифицироваться будут только те процессы имен которые находятся в списке)
2) нажимаем +
и выбираем процесс TorBrowser (он имеет имя firefox.exe)
3) ставим галочку напротив Show Firewall Panel (включаем панель файрвола)
4) закрываем!
Видим такую картину
Далее нам нужно добавить в панель Firewall опять же наш процесс firefox.exe. Нажимаем на панели правой кнопеой мыши и выбираем опять же firefox.exe
Панель файрвола нужна для защиты и прежде всего на тот случай если вдруг проксификация аварийно завершилась и мы не слили свой реальный IP адрес в сеть.
Дале мы видим нашу программу добавленную в панель файрвола.. но правило еще не создано и наша иконка горит красным цветом. а это значит программа не блокирована Windows Firewall.
Чтобы иконка стала зеленым цветом мы должны заблокировать нашу программу. Это не даст ей выйти в интернет без использования SSH.
Теперь иконка обозначена зеленым цветом.
То что нам нужно. Далее запускать процесс firefox можно непосрественно из панели.
Теперь все... мы привязали наш TorBrowser c SSH Tunnel Manager, но перед использованием нам нужно обязательно проверить заблокирован ли наш браузер Windows Firewall.
Для этого открываем браузер и вписываем любой рабочий URL.
На моем примере это WHOER.NET.
Как видно по скрину страница не смогла загрузиться... но это будет до тех пор пока мы не подключимся к SSH. И еще что немаловажно Windows Firewall умеет блокировать приложения начиная от Win7 и выше. (XP в этом плане не подойдет)
Теперь у нас все настроено и остались мелочи.
В SSH Tunnel Manager ставим галочку напротив нашего SSH и нажимаем Run Socks
Делее мы видим удачное подключение
Теперь снова запускаем TorBrowser и вводим в строку whoer.net (TorBrowser можно запускать прямо с панели файрвола SSH Tunnel Manager или с места где он у вас находится)
И видим то что нас уже устраивает, но не совсем.... так как есть несоответствие по времени. из за чего Whoer.net дает нам всего 70% анонимности
Ничего страшного.. не отчаиваемся...
набираем в строке about:addons и ищем плагин random agent spoofer и устанавливаем
После Установки он появится у нас на панели. загрузив еще раз страницу Whoer.net мы увидим несоответствие по времени на 5 часов.. меняэм это в плагине.
После смены еще раз перезагружаем нашу страницу Whoer.net и видим результат.
Всем спасибо. надеюсь моя статейка будет полезна!
Вот еще сборка под 100% анонимность для Firefox
Сетевые файлы, использующиеся для установки соединения, могут быть заражены или повреждены вирусами, от чего либо браузер, либо прокси не получает доступ к необходимому объекту. Поэтому мы рекомендуем осуществить сканирование и дальнейшую очистку системы от вредоносных файлов одним из доступных методов.
После этого желательно провести восстановление системных файлов, поскольку, как уже было сказано выше, они могли повредиться вследствие заражения. Делается это одним из встроенных инструментов операционной системы. Детальное руководство по выполнению поставленной задачи читайте в другом нашем материале по следующей ссылке.
Способ 4: Сканирование и исправление ошибок реестра
Большинство системных параметров ОС Windows хранятся в реестре. Иногда они повреждаются или начинают работать некорректно из-за каких-либо сбоев. Мы советуем провести сканирование реестра на наличие ошибок и по возможности исправить их все. После перезагрузки компьютера попробуйте заново настроить соединение. Развернуто об очистке читайте далее.
Долгое время я не чувствовал необходимости обходить великий и ужасный реестр заблокированных сайтов, но вот и до меня дошла беда - мой любимый провайдер выпилил нахрен лостфильм. По этому поводу сегодня я расскажу как настроить тор в качестве прокси и использовать его в связке с хромом (выбор браузера не принципиален).
Я рассмотрю два случая и начну с более простого и обыденного.
Настройка прокси на локальном компе с Windows
Если у нас есть просто комп с виндой, то первым делом идем сюда: https://www.torproject.org/download/download.html.en , разворачиваем раздел Microsoft Windows и качаем Vidalia Relay Bundle . После установки и запуска появится следующее окно:
Снимаем галку Show this window on startup , затем тыкаем кнопку Settings и переходим во вкладку Sharing :
Выбираем опцию Run as client only , если не хотим пропускать через себя чужой трафик для повышения общей скорости tor-сети. OK
В главном окне нажимаем Hide, чтобы свернуть программу в трей. При перезапуске винды тор стартует автоматически. Переходим к настройке браузера.
Настройка браузера на примере Google Chrome
Заходим в настройки:
На первой вкладке вводим имя прокси, например Local Tor :
На второй вкладке вводим:
Host IP Address: 127.0.0.1
SOCKS Proxy: ставим галку
SOCKS v4/v4a: выбираем
Переходим на третью вкладку, тут будем добавлять сайты, на которые нужно ходить через прокси.
Нажимаем Add new pattern . Добавим лостфильм.
Pattern name: LostLilm
URL pattern: *lostfilm.tv*
(Для паттернов используются обыкновенные маски, таким образом запись *lostfilm.tv* означает все ссылки, в которых встречается адрес сайта.)
Нажимаем Save в окне редактирования паттерна, потом еще раз - в окне Proxy Settings . Теперь кроме Default Proxy у нас появилась наша - Local Tor .
Теперь при попытке зайти на лостфильм фоксипрокси автоматически заставит браузер использовать наш тор и никакой реестр нам больше не страшен.
Для того чтобы добавить другие сайты, нужно отредактировать созданную прокси - Local Tor , перейдя в третью вкладку и добавив новый паттерн.
Настройка TOR на отдельном компе для проксирования нескольких домашних компьютеров
Эта часть не для всех, но так как у меня дома 2 компа и сводобный неттоп, то я решил - чего бы не использовать последний в качестве прокси? Я развернул на нем платформу виртуализации внутри которой сделал виртуалку, но это совершенно не принципиально - будем считать что это просто отдельный комп.
Первым делом я накатил туда Ubuntu 14.04 в минимальной серверной конфигурации. Дальше установил тор и дополнительную проксятину:
apt-
get install tor tor-
geoipdb privoxy
Бэкаплю конфиг прокси и создаю новый
mv /
etc/
privoxy/
config /
etc/
privoxy/
config.
backup
vi /
etc/
privoxy/
config
В конфиг пишу: |
Перезапускаю прокси
/
etc/
init.
d/
privoxy restart
Готово, теперь остается настроить браузер. Настройка идентична уже описанной, отличается только настройкой самой прокси.
