Lshnls Jan 6 at 16:38

Настройка Tor + Privoxy: HTTP и SOCKS5 proxy для домашней сети через Tor

Easy

3 min

12K

IT Infrastructure * Information Security *

Tutorial

Comments 26

Ulrih Jan 6 at 18:45

Автор это вообще законно? Тебя за жабры не схватят?

Octagon77 Jan 6 at 19:24

Автор, 🧍‍♀️🐩, убери статью и про приватность пиши только одно - ой, мама, совсем нету, ничего не работает. На крайняк - как с этим обстоит дело в скрепной ОС Роса.

dreams_killer Jan 6 at 19:32

Использовать Tor для доступа к заблокированным ресурсам - сомнительная затея в плане безопасности т.к. на выходной ноде вполне могут дампить трафик.

nerudo Jan 6 at 20:17

А на каждом маршрутизаторе по пути не могут?

dreams_killer Jan 6 at 20:20

Нет не могут, только на выходной ноде при доступу к не *.onion ресурсу соответственно.

nerudo Jan 7 at 13:47

Это был саркастический комментарий, в котором подразумевалась работа вовсе без тора.

Lshnls Jan 6 at 20:22

Только для тестов

dreams_killer Jan 6 at 20:29

Бесспорно, но и подменить сертификат на выходной ноде элементарно( не все, но многие проигнорируют аларм от браузера.) безопасность tor сети , она только внутри Tor сети , а не про доступ к внешним ресурсам.

vikarti Jan 8 at 11:46

ну...когда то давно у меня была своя exit node, было интересно как люди пользуются. https тогда еще был непопулярен...

lea Jan 7 at 00:37

SocksListenAddress 0.0.0.0 разрешает подключение из локальной сети.Если сервер доступен из интернета — не делайте этого.

Хорошая практика - ограничивать доступ через SocksPolicy

MountainGoat Jan 7 at 06:23

Забыли сказать только, что скорость там около нуля, а поскольку половина выходных нод в самых чёрных списках, то сайты вам выдают трёхзначную ошибку, а некоторые после логина автоматически считают аккаунт украденным и посылают на email сброс пароля.

У меня Tor настроен, конечно, но только как аварийный вариант чтобы через него купить VPS.

Lshnls Jan 7 at 11:45

Реальная скорость в районе 10 Мб/с. Не высокая, достаточная.

MountainGoat Jan 7 at 11:48

А это как повезёт. Сегодня 10Мб/с, завтра 10 Мб/ч. Недавно через него на Озон лазил, посмотреть, поменяются ли цены (кстати нет) можно было сходить чаю попить между кликами.

rvs2016 Jan 7 at 12:25

лазил, посмотреть, поменяются ли цены (кстати нет) можно было сходить чаю попить между кликами

Понятно, конечно, что это сильно напоминает скорость загрузки страниц в эпоху диалапа, но это всё же даёт возможность многим сайтам хоть медленно, но таки загружаться.

В эпоху диалапа сайты могли грузиться медленно. В наше же время многие сайты (ну и прочие ресурсы) стали недоступны полностью, если только не применять средства, дающие доступ к таким сайтам.

nitro80 Jan 7 at 12:44

А возможно сделать свою приватную выходную ноду?

MountainGoat Jan 7 at 12:49

Даже если да, а какой в этом смысл? Не проще там же вместо ноды Xray поднять? Tor детектится и блокируется легче.

vikarti Jan 8 at 11:47

Там даже эти списки формировать не надо. список exit нод публично доступен.

KennyMc Jan 7 at 11:05

Схема безусловно рабочая, но не полная.
0. Обязательно "чистый" DNS, чтобы провайдер не видел ваших запросов. В конфиге в статье DNS настроен через Тор - но лучше все таки котлеты отдельно, мухи отдельно. Использую связку unbound + dnscrypt - полет нормальный.
1. Используйте Squid в качестве основного прокси. Он может быть прозрачным, и не надо будет вписывать адрес и порт прокси в браузеры и приложения. Плюс он умеет разделять траффик. Часть траффика пойдет через провайдера, часть уйдет из squid'a в privoxy.
2. Privoxy обязателен. Torrc не очень понимает разделение http и https, поэтому траффик из squid'a сначала надо запустить именно в privoxy. Конфиг privoxy должен быть в таком случае попроще. Что то типа:
listen-address localhost:порт toggle 0 enable-remote-toggle 0 enable-remote-http-toggle 0 enable-edit-actions 0 forward-socks5t / localhost:порт где висит Tor . max-client-connections 4096
4. Сам Tor должен быть с такой строкой в конфиге:
ExcludeExitNodes {ru},{ua},{by},{kz},{??}
То есть выходная нода не будет в указанных зонах. Ну и прописать использование бриджей и obfs4proxy обязательно.
В результате схема такая:
обычные сайты - браузер - squid - провайдер - сайт и обратно,
необычные сайты - браузер - squid - privoxy - tor - сеть tor'a - выходная нода (как правило в Европе) и обратно.
Вот и сейчас (извините за неровный почерк)) сижу на этой вкладке браузера на Хабре, а в соседней открыт Ютуб, при этом сегодня я итальянец, если верить Ютубу).

Lshnls Jan 7 at 11:35

Для прозрачного проксирования можно завернуть трафик с помощью iptables на порт TransportPort Tor.

Для этого:

в /etc/tor/torrc добавить:

TransPort <IP_СЕРВЕРА>:9040 IsolateClientAddr IsolateClientProtocol IsolateDestAddr IsolateDestPort

в /etc/iptables/iptables.rules:

-A PREROUTING ! -i lo -s <СЕТЬ/МАСКА> -p tcp -j REDIRECT --to-ports 9040
-A PREROUTING ! -i lo -s <СЕТЬ/МАСКА> -p udp -j REDIRECT --to-ports 9040

KennyMc Jan 7 at 13:22

Верно.
Однако, суть указанной мной схемы немного в другом. С помощью squid'a мы получаем инструмент, который разделит (простыми ACL) траффик на обычный и необычный. И только "необычный" пойдет в сеть Tor. Подозреваю, что если весь трафик локальной сети через Тор пустить - будет ооочень медленно.

Lshnls Jan 8 at 11:42

Насколько я понимаю, для использования squid в качестве tranparent proxy потребуется разделить трафик на http и https и использовать сертификат ( самоподписанный), котрый должен быть установлен в доверенные сертификаты клиентов. Но если клиент это, например, телефизор, то это может быть невозможно. Squid может наботать в режиме HTTP PROXY CONNECT?

KennyMc Jan 8 at 13:35

Действительно, " для использования squid в качестве tranparent proxy потребуется разделить трафик на http и https и использовать сертификат ( самоподписанный) ".
Однако далее есть 2 пути.
Первый, как вы и описали - создание на основе сертификата der файла и прописка его во всех клиентах.
Это нужно для того, чтобы полностью вскрыть траффик клиентов. Но нам ведь по сути не это нужно. Нам нужно всего лишь разделить траффик надвое. Поэтому,
вариант 2 - мы просто залезаем в SNI и смотрим, куда идет пакет.
Делается это примерно так (squid.conf)-
#Tor acl acl tor_url url_regex "/тут/путь/к/regexp/файлу/с/названиями/сайтов"
А потом заворачиваем этот траффик в Privoxy:
#Tor access rules never_direct allow tor_url #Local Tor is cache parent cache_peer 127.0.0.1 parent номер_порта_privoxy 0 no-query no-digest default cache_peer_access 127.0.0.1 allow tor_url cache_peer_access 127.0.0.1 deny all
А обычный траффик по сути не перехватываем, там правило типа:
ssl_bump peek step1 ssl_bump splice all

Вот таким нехитрым образом все и происходит

Lshnls Jan 7 at 11:48

Использование мостов в сочетании с подключаемым транспортом хотя и помогает скрыть тот факт, что вы используете Tor, но может замедлить соединение по сравнению с использованием обычных узлов Tor.

KennyMc Jan 7 at 13:26

Суть (в том числе) в том, чтобы скрыть использование Тора. Поэтому в него надо запускать не весь траффик сети, а только на избранные ресурсы.
По опыту - на четырех компах\устройствах Ютуб вполне выдает 1080р
Этого хватает.

BoyNG2 Jan 7 at 19:19

Может кто подскажет, есть ли решение...

Например контейнер docker в котором крутится nodpi и который принимает например как socks5 с авторизацией, чтобы можно было прокинуть наружу и юзать с телефона для тюбика?

pashuk 5 hours ago

Автор по поводу именно приватного серфинга в текущей конфигурации немного приукрасил мне кажется.
В представленной конфигурации возможности именно privoxy не используются никак, с тем же успехом можно было любой http-to-socks proxy использовать.

А чтобы privoxy настроить, чтобы он из https трафика удалял трекеры\куки\идентификацию - надо ещё доделать: сертификат выписать, добавить его себе в доверенные и в privoxy тоже.

У автора https-трафик не расшифровывается и как есть в tor отправляется, соответственно если на самой странице трекер есть он тебя оттрекает.

Это я для простых людей пишу, потому что статя как tutorial помечена, а по факту до приватности тут ещё как до китая.