Comments 97
Пока статьи про обход были технически сложными — массово неприемлимыми — никого они не трогали.
Как только больше будет общедоступных методов, как больше будет статей про них — так раньше на работу Тора обратят внимание и примут меры для затруднения.
Законодательный запрет это уже обратили внимание или еще не совсем?
Очень интересно это будет применить на Raspberry Pi 3, (ethernet — USB ethernet), 100 мегабит должна потянуть…
Можно гораздо проще (но не дешевле). Купить современный роутер с 4 Gigabit LAN портами и двухдиапазонным WiFi, поставить на него OpenWRT (LEDE, по-моему, сыроват, это как Дебиан и Убунта) и все те пакеты, которые перечислил автор поста. У меня на нём крутится веб-сервер (статика, для дома для семьи), BIND9 (несколько доменов), сервер времени, adblock, dnscrypt-proxy, igmpproxy, miniupnpd, OpenVPN-server, QoS.
При этом:
Load average: 0.15 0.26 0.23;
Mem: 77576K used, 48096K free, 1820K shrd, 5004K buff, 16756K cached
Т.е. железяка не напрягается, и это хорошо. Потому что до этого у меня был TP-Link TL-WR1043ND, и он это всё не вытягивал — не хватало оперативной памяти, всё дико свопало и тормозило. Хедшот он получал от BIND9.
Роутер этот стоит денег, но я уже с дешевыми железяками себе нервы испортил на 2 жизни вперёд. Во всей полноте осознал смысл народной мудрости «я не настолько богат, чтобы покупать дешевые вещи».
Я похожее сделал на TP-Link TL-WR1043ND v1 openwrt 12.09, отличие в блокировке рекламы, через списки adfree, и доступ на заблокированные сайты через vpn, благо у нас блокируются подсети
Так же доступ к некоторым ресурсам с мобильного, как например для почтового клиента чтоб получать мылорушную почту настроил imap myrouter.ddns.net:999 и для флибусты myrouter.ddns.net:777. Не понимаю людей которые для роутинга используют компы или полностью рабочие ноуты. Хотя хотел поставить ноут вместо 1043, старый без экрана уже, но на нем можно хоть файлохранилище с dnla поднять, и не так чтоб жалко, красная цена на продажу 20-25$, роутеры дороже...
А какая разница, какое количество портов? IP-трафику без разницы, гоняют ли его через один физический интерфейс или через разные, если ничего не упирается в пропускную способность интерфейса.
Дело тут, скорее, в выделении целой железки для выполнения отдельных задач. Если в домашней сети уже есть сервер, то можно сервисы настроить и на нём. Если же домашнего сервера нет, то незачем его заводить только ради этих сервисов, когда всё можно настроить и на роутере.
оо крутяк, я все думал, на что бы с 1043 спрыгнуть, спасибо
Сейчас набор софта устоялся, поэтому в следующий раз прошиваться буду после выхода обновления стабильной версии OpenWRT, ну или после обнаружения критического бага.
Обновления безопасности на роутере, ИМХО, это не то, из-за чего его надо шить каждый день. Ломать меня никто никогда не пытался, это я знаю благодаря скрипту, который даже неудачные (не говоря уж об удачных) попытки логина мне на мыло шлёт. За 5+ лет не было НИ ОДНОЙ ПОПЫТКИ взлома. Просто ssh на нестандартном порту висит. Если бы были попытки, ну хоть одна, я бы еще port-knocking прикрутил. Веб-сервер мне не сломают, потому что ломать там нечего — это тупо статика. OpenVPN поднимаю по мере надобности доступа в домашнюю сеть извне, а это бывает крайне редко.
Так что это не проблема, поверьте.
Так в логах тысячи попыток логина в день (sshd открыт тоже не на стандартном порту)
Так что я даже не знаю…
И правильно. Не пускайте с паролем, пускайте только с ключами. Пусть долбятся сколько хотят. Кстати, смотрю по логам что после двух-трех попыток пробиться большинство отваливается. Протокол ведь явно говорит что пароли не принимаются!
На сегодняшний день желательно наличие следующих характеристик:
- Возможность установки альтернативной прошивки OpenWRT/LEDE/etc.
Список устройств, официально поддерживающих OpenWRT.
Необходимо знать, что некоторые вендоры (и TP-Link с недавних пор) блокируют загрузчик или проверяют подпись файла прошивки, что затрудняет установку альтернативной прошивки. На Archer C7 эту проблему обошли. На других — надо смотреть индивидуально. - Двухдиапазонный WiFi n/ac
- Гигабитные LAN-порты. Если инет от провайдера гигабитный, то и WAN-порт тоже должен быть гигабитным
- RAM >=128 МБ
- ROM (внутр. память) не менее 16 МБ
- Процессор чем больше МГЦ, тем лучше. Меньше 500 лучше не брать, если собираетесь делать что-то сверх возможностей заводской прошивки. Есть двухъядерные, что еще лучше
- Наличие USB. Может понадобиться для USB-модема, флешки, принтера, да хоть для чего :) Есть практически на всех моделях дороже 2к рублей
- Это уже для замороченных. Съемные антенны (желательно на оба диапазона частот). Вместо штатных можно будет установить направленные антенны, тем самым «добить» до недосягаемых ранее мест. Хотя один роутер (Archer C7) 4-комнатную квартиру с ж/б стенами накрывает на 70% номинальной мощности сигнала на штатных антеннах
Раздавать вайфай, а трафик с вайфая заворачивать в Tor через кабельный интернет, например? Я себе именно такой anonybox и сделал.
При том, что под RPi пакеты свежего тора есть, а под OpenWRT — не факт, придется ставить кросскомпилятор, маяться со сборкой, инжектить пакет в прошивку.
Сам так делал еще 5-7 лет назад. Ставится либо готовое решение (например, Kerio Control) и забывается про него (антивирусные базы само обновляет, как и черные списки), либо самодельное (но тогда все тоже самое ручками).
Ваш вариант — мощная коробка и самодельная настройка — имеют место. Но если вопрос не в деньгах, как Вы выразились, то покупаем готовую коробку — хоть от McAfee — и пользуемся. Ни перепрошивок, ни та полдня на поиск форума с решением похожей проблемы. Так что определитесь: или сам все настраиваешь, или покупаешь готовое.
Я понимаю, что это типа вариант для ленивых, мол все в статье описанно, однако сейчас такое время, что писать что-то самому слишьком долго и затратно, гораздо продуктивней редактировать готовый код под свои нужды.
Спасибо.
Если будут плюсовать ваш комент, выложу, хоть и не считаю это целесообразным.
И не все так страшно. Bind кеширует запросы. Задержка только при первом обращении. Да и задержка не такая уж большая. По крайней мере она никак не ощущается.
Не надо плодить сущности.
Но идея c dnscrypt хорошая.
zone "protected.domain" in {
type forward;
forward only;
forwarders {
127.0.0.1 port 8053; // dnscrypt-proxy
127.0.0.1 port 9053; // tor
}
}
Вообще тип forward работает. У меня несколько таких зон, но только второго уровня.
Записи для зоны первого уровня тоже работают. У меня их тоже несколько, но только типа master и slave.
А тут… Какие-нибудь ограничения? В дока пока не нашёл ничего, чтобы это объясняло.
А что, если собрать вирус, который будет заражать компы и делать две простые вещи:
1) Устанавливать расширения для обхода блокировок
2) Создать и запустить Tor Exit ноду.
Таким образом, большая часть наслеения
1) Будет иметь доступ везде, как будто блокировок не было
2) Сажать за Тор ноду и за обход будет не вариантом, т.к. очевидно что все население попадет под действие.
Волнует этичность сего, безусловно. Сложность реализации не волнует, т.к. вполне очевидна уязвимость ПК большинства технически не граммотных пользователей.
Религиозный фанатик, возомнив себя орудием в руках Господа, создает и распространяет по планете вирус, который убивает гомосексуалистов и прелюбодеев. Однако всё ли он учел в своих расчетах?
Надо еще чтоб вирусяка определяла лимитность по мегабайтам интернета и скорость ноды в % от скорости нета, динамический, также чтоб чтоб заблокированные в этой стране сайты автоматом шли на следующую ноду
спасибо за ссылку на adservers/serverlist ) очень удобно!
По VLAN'ам. Если я ничего не путаю, то на RPi ставится linux, а в нём самом VLAN-ами обложиться — как два байта об компилятор. И создавайте сколько влезет VLAN-ов на сетевухе, настраивайте роутинг и прочие ништяки.
В этом только одно «но»: это надо только гикам, хипстерам и прочим сущностям, описываемым новомодными словами из соответствующего им множества. А простым людям это не надо. Им надо «включил, немного погуглил, работает годами, при этом имея удовлетворительный уровень безопасности от всяких васянов».
И если бы вы знали, как тяжело простому человеку разбираться в этих ваших виртуальных приблудах, когда ему понятно в основном только то, что он может увидеть.
В роутере он видит 5 дырок, одна — провайдеру, 4 — его. Если мало 4 дырки, то купит еще приблуду с 16 дырками. Всё.
Не забывайте, что вокруг вас простые люди, которые не угробили полжизни, чтобы разобраться во всём этом околокомпьютерном геморрое. Это не значит, что они тупые. Они в чем-то другом лучше вас. И потребности у всех разные.
Вам — построить дома высокоэффективную инфраструктуру с прозрачным проксированием в различные типы сетей с автоматическим бэкапом каждой железяки друг на друга и Амазон впридачу, покрыв это всё GPG, а им — посмотреть Ютубу на телевизоре и скачать на ПК/планшете книжку с Флибусты.
И главное ЗАЧЕМ это всё? Только чтобы получить очередное сомнительное удобство за счёт засорения жилого пространства…
Точно говорят — профдеформация.
А вот лампочкам накаливания пока ещё полной альтернативы не найдено — только целый ворох компромиссных решений, каждое из которых в чём-то ущербно да ещё и дорого.
Вы бы ещё на GPU попытались запилить веб-сервер, а что — железка-то мощная но для этой цели буде крайне неэффективная.
Профдеформация ВСЕГДА мешает и можно сколько угодно оправдываться тем что позволяет ассимилировать технику, но… это всё ведёт к крайностям. Сегодня ватты не экономим, а завтра «подумаешь всего 100 человек погибло, в мире их ещё 7 миллиардов».
Что касается избыточности x86, тут всё зависит от целей. Захотелось, например, красивую статистику генерировать, или какую-нибудь ещё задачу добавить, тут и упрёмся в убогий процессор.
Претензии к эффективности бесплатного софта с открытым исходным кодом, мне кажется, высказывать вообще смысла особого нет: можете лучше — исправьте. С x86 проблемы такой просто нет. Пример из жизни: у меня старый ARM-процессор не справлялся со статистикой, на x86 средняя загрузка процессора — 8%.
Я за одно отключил IPv6.
Зря. Можно было сразу ipv6 через туннельного брокера настроить.
#dns=dnsmasq
Вроде как с Ubuntu 17.04 уже перешли на systemd-resolved, и проблемы с dnsmasq уже возникать не должно, но я не проверял.
Уж лучше вы к нам! :)
server=/orion/127.0.0.1#5353
У меня он подобным же образом ресолвит TLD lib, coin,… — работает кошелёк emercoin с включенным EMCDNS:
server=/lib/192.168.90.8#5335
Плюс через emercoind ресолвится i2p, но там всё сложнее.
Зря отключили ipv6. Я давным-давно настроил 6to4 и gai.conf, в результате этого блокировки noname и многих других сайтов я просто не заметил. Правда для HDvideo в youtube скорости не хватает, это пришлось регулировать в том же gai.conf.
Ныне 6to4 имеет статус устаревшей технологии и лучше настраивать IPv6 через туннельного брокера, но от этого изменятся только вариант собственно туннеля. маршрутизация IPv6 настраивается точно так же в gai.conf.
Вместо прозрачного прокси стоило отдать по DHCP ссылку с proxy.pac и тогда в нормальных ОС браузинг через сервер прокси HTTP/HTTPS будет настроен автоматически.
Настраиваем интернет шлюз с прозрачным обходом блокировок (а рекламу таки будем блокировать)