Tor bypass блоклох. Ил тод хориглох тойруу болон Tor сүлжээнд нэвтрэх. Төрийн Дум, Роскомнадзор юунд хүрэхийг хүсч байна
Олон оффисууд олон нийтийн сүлжээ, видео үйлчилгээ, файл хуваалцах, зугаа цэнгэлийн сайтуудыг нэлээд удаан хааж байна. Зарим нь бүр алдартай нэрээ нууцлах үйлчилгээг хаадаг. Энэ мэтчилэн ажил олгогчид ажилчдаа шууд ажил үүргээ гүйцэтгэхийг шахаж, зугаа цэнгэлд ажлын цагийг зарцуулахгүй байхыг хичээдэг. Энэ нийтлэлд би жирийн хэрэглэгчид бид хэрхэн энэхүү хаалтыг даван туулж, интернетэд хязгааргүй нэвтрэх боломжтой болохыг алхам алхмаар хэлэх болно.
Үнэн хэрэгтээ бидний хувьд бүх зүйлийг аль хэдийн зохион бүтээсэн бөгөөд бид бэлэн шийдлийг ашиглах болно.
Тортой танилц.
Tor бол нууцлагдсан сүлжээний холболт үүсгэх боломжийг олгодог систем бөгөөд өгөгдөл дамжуулахыг шифрлэсэн хэлбэрээр зохион байгуулдаг. Ашиглах замаар Торхэрэглэгчид вэб сайтад зочлох, контент нийтлэх, мессеж илгээх болон TCP протоколыг ашигладаг бусад програмуудыг ашиглах үед нэрээ нууцлах боломжтой. Технологи ТорХэрэглэгчийн нэрээ нууцлахаас гадна мэдээллийн нууцлалыг алдагдуулдаг замын хөдөлгөөний шинжилгээний механизмаас хамгаалдаг.
Систем ТорХолбооны захиалгаар АНУ-ын Тэнгисийн цэргийн судалгааны лабораторид бүтээгдсэн. 2002 онд тэд энэхүү хөгжүүлэлтийн нууцыг задлахаар шийдсэн бөгөөд эх кодыг бие даасан хөгжүүлэгчид шилжүүлж, үйлчлүүлэгчийн программ хангамжийг бүтээж, эх кодыг үнэгүй лицензийн дагуу нийтэлсэн бөгөөд ингэснээр хүн бүр алдаа, арын хаалга байгаа эсэхийг шалгах боломжтой болсон.
Онолоо дуусгаад системийг суулгах, тохируулах руу шилжье.
Бид Tor системийн татаж авах хуудас руу орж, Оросын интерфейстэй сонголтыг сонгоод суулгах файлыг татаж авна. Файлын хэмжээ 25 мегабайт орчим байна.
Татаж авсан файлаа ажиллуулж, суулгах байршлыг сонгоод Extract товчийг дарна уу
Суулгац дууссаны дараа бидний ширээний компьютер дээр шинэ товчлол гарч ирэхгүй тул бид системийг суулгасан лавлахыг нээж, тэндээс Start Tor Browser.exe файлыг ажиллуулна.
Програмын цонх нээгдэж, холболтын үйл явцыг харуулах болно
Хэрэв таны сүлжээ прокси серверээр дамжуулан интернетэд холбогдсон бол холболтын процесс шифрлэгдсэн холболт үүсгэх үе шатанд зогсох болно.
Тохиргоо товчийг дарна уу
Гарч ирэх цонхонд Сүлжээний таб руу очно уу
Бид зурагт үзүүлсэн шиг бүх зүйлийг тохируулж, прокси хаяг болон портоо зааж өгдөг
Гарах товчийг дарна уу
Tor Browser.exe-г дахин эхлүүлнэ үү
Бид Tor системтэй холбогдохыг хүлээж байна
Үүний дараа та системд суулгасан Firefox хөтчийг нээх бөгөөд үүгээр дамжуулан та ямар ч сайтад нэрээ нууцлан зочлох боломжтой
Яагаад танд VPN хэрэгтэй байна вэ?
VPN үйлчилгээг ашигласнаар та Орост ажилладаггүй сайтуудыг (жишээ нь, Spotify) хаах боломжтой. Гэхдээ энэ нь тэдэнд хэрэгтэй байгаа цорын ганц шалтгаан биш юм. Алсын ажилчид болон салбарын ажилтнууд VPN-ээр дамжуулан корпорацийн үйлчилгээнд холбогддог тул компанийн мэдээллийг эрсдэлд оруулахгүй. Олон нийтийн Wi-Fi-аар интернетэд холбогдож, мэдээлэл нь таслагдах вий гэж айдаг хүмүүс халдагчдаас өөрсдийгөө хамгаалахын тулд VPN ашигладаг.
Энэ яаж ажилдаг вэ? Хэрэв таны компьютер ихэвчлэн ISP серверээр дамжуулан интернетэд холбогддог бол VPN үйлчилгээ нь таны компьютер болон алсын серверийн хооронд хонгил үүсгэдэг. Ингэснээр та тойрог замаар интернетэд холбогддог. Хонгил доторх бүх өгөгдөл шифрлэгдсэн тул үйлчилгээ үзүүлэгч болон хакерууд таныг VPN холболтоор хаашаа явж, интернетэд юу хийж байгааг мэдэхгүй байна. Үүний зэрэгцээ та хэн нэгний хаягаар ажиллаж байгаа тул сайтууд таны компьютерийн жинхэнэ IP хаягийг харахгүй байна. VPN (Virtual Private Network) нь хамгаалалтгүй интернет дотор аюулгүй хувийн сүлжээг бий болгодог.
Үүнийг хэрхэн хаах вэ?
Саргис Дарбинян: "Хүн ашиглаж болох олон арга бий: асуудлыг судалж, өөрийн VPN-г хялбархан тохируулах, Psiphon, Tor, хөтчийн турбо горим, залгаас зэрэг бусад шийдлүүдийг ашиглах, хэрэглэгчдэд санаа тавьдаг өөр VPN үйлчилгээг худалдаж авах, шуурхай арга хэмжээ авах. ” .
Блоклох нь юунд хүргэх вэ?
Артем Козлюк: "Бараг бүх бизнес VPN-тэй холбоотой. Жижигээс том хүртэлх аливаа аж ахуйн нэгжийн виртуал хувийн сүлжээ аюулд өртөж байна. Шинэ хуулийн хэрэгжилт буруу явагдсанаас ямар ч үед VPN доголдол гарч болзошгүй. Роскомнадзор эдгээр хуулийг хэрхэн хэрэгжүүлж байгааг бид хязгааргүй олон удаа харж байна. Нэгдүгээрт, тэдгээрийг техникийн талаас нь бичиг үсэг тайлагдаагүй, хоёрдугаарт, хууль сахиулах явцад Роскомнадзор техникийн мэдлэггүй байдлыг шинэ түвшинд хүргэж байна."
Маркус Саар: “Шалгалт, хяналт хэрхэн явагдах нь одоогоор тодорхойгүй байна. VPN нь нэрээ нууцлах хэлбэрээс ялгаатай нь хаалттай сүлжээ бөгөөд үүнд нэвтрэхийн тулд та төлбөртэй захиалга худалдаж аваад програм хангамж суулгах хэрэгтэй. Түүнчлэн, зарим үйлчилгээнд өөрийн гэсэн програм хангамж байхгүй тул та тохиргооны файл, түлхүүр, гэрчилгээг ашиглан холболтыг гараар тохируулах хэрэгтэй. Хоёрдахь асуулт бол VPN, Tor болон бусад хэрэгслийг ашиглах болсон технологийн мэдлэгтэй хэрэглэгчдийг "цохих" нь хэр оновчтой вэ гэсэн асуулт юм. Эцсийн эцэст, хэрэв тэд нэг удаа цензурыг тойрч гарах хүч чадал, хүсэл эрмэлзэлээ олж авбал тэд үүнийг дахин дахин хийх болно.
Саргис Дарбинян: "Харилцан холбооны операторууд VPN траффикийг хаасан нь гадаадын тагнуулын алба, корпорацууд болон халдагч этгээдүүдийн эсрэг дэлхийн дижитал орчинд аж ахуйн нэгжийн бүхэл бүтэн салбар, улс орны дижитал эдийн засагт асар их хохирол учруулж, Оросын иргэдийн аюулгүй байдлыг бууруулж байна гэсэн үг юм. Тандалт, мэдээлэл хулгайлахад эмзэг байдлыг ашиглах. Дарангуйлагч дэглэмтэй Ази, Лалын шашинтай орнуудад ч VPN-ээр мэдээлэл дамжуулах, хүлээн авах боломжийг хэн ч 100% хааж чадаагүй байна. Үйлчилгээ үзүүлэгчид хамгийн алдартай VPN-үүдийн IP хаягуудын жагсаалттай байдаг бөгөөд тэдгээрийг тодорхой давтамжтайгаар шинэчилж, блоклодог. Гэхдээ VPN траффик нь өөрийгөө өнгөлөн далдлаж сурсан. VPN үйлчилгээ үзүүлэгч нь дор хаяж минут тутамд шинэ IP хаяг үүсгэж чаддаг (эцэс төгсгөлгүй IPv6), тиймээс үүнийг хийх нь улам бүр хэцүү, үнэтэй байх болно.
Оросын эрх баригчид хаалтыг тойрч гарах үйлчилгээг хориглов. Энэ нь олон IP хаягийг хуурамчаар үйлддэг Tor хөтөч дээр нөлөөлдөг боловч үүнийг даван туулахад тийм ч хялбар биш юм. Tor нь "гүүр" гэж нэрлэгддэг блокуудыг ашиглахаас хамгаалдаг.
Tor блокыг хэрхэн тойрч гарах вэ:
1. Tor хөтчийг ажиллуулаад bridges.torproject.org руу орно уу.
2. Get bridges дээр дарж, зурган дээрх тэмдэгтүүдийг оруулна уу (хамгийн их магадлалтай, энэ нь анх удаа ажиллахгүй).
3. Гаргасан гүүрний жагсаалтыг хуулж ав.
4. Хаягийн талбарын зүүн талд байгаа Tor дүрс дээр товшоод "Tor Network Settings"-ийг сонгоно уу.
5. "Миний интернетийн үйлчилгээ үзүүлэгч (ISP) Tor сүлжээнд холбогдохыг блоклодог" гэснийг сонгоно уу.
6. "Захиалгат гүүр оруулах" дээр дарна уу.
7. Өмнө нь хуулсан гүүрнүүдээ буулгаад OK товчийг дарна уу.
8. Tor хөтчийг дахин эхлүүлнэ үү. Та одоо ISP-ээс Tor-оос хаасан сайтуудаар зочлох боломжтой.
Хэрэв та bridges.torproject.org сайт руу нэвтэрч чадахгүй байгаа бол хаягаар ямар нэгэн контент бүхий имэйл илгээнэ үү
Хэрэв та хэт хязгаарлалтгүйгээр сүлжээнд орохыг хүсч байгаа ч хөтөч дээр проксиг солихыг хүсэхгүй байвал яах вэ? Хэрэв та хориотой сайтууд болон ердийн сайтуудад хоёуланд нь зочлохыг хүсч байгаа бөгөөд үүний зэрэгцээ ердийн сайтуудын нээлтийн хурд буурахгүй байвал яах вэ? Хэрэв та дэлхийн сүлжээний алслагдсан хэсгүүдэд юу болж байгааг мэдэхийг сонирхож байвал яах вэ?
Эдгээр үзэл баримтлалд үндэслэн бид дараахь зүйлийг хийх ёстой.
- Ердийн сайтууд ердийнхөөрөө нээгддэг
- Хориотой сайтууд Тороор дамжуулан тохиргоогүйгээр нээгдэв
- .onion бүсийн бүх сайтууд тохиргоогүйгээр нээгддэг
Нэг талаасаа шаардлага нь зөрчилтэй. Нөгөөтэйгүүр, ая тухтай байдлыг хангахын тулд юу хийж болохгүй вэ!
DPI-г тойрч гарах янз бүрийн арга, аргуудыг санаж болно, гэхдээ хэрэв та үүнтэй төстэй зүйлийн талаар бодохыг хүсэхгүй байгаа бол үүнийг тохируулж, мартахыг хүсч байвал даалгаврыг шийдвэрлэх Tor-ийн аналог байхгүй болно. хориглосон сайтуудад хялбар нэвтрэх нөхцөл.
Зөвхөн эдгээр зааврыг дагаснаар та бүрэн нэрээ нууцлах боломжгүй болно. OPSEC арга хэмжээ авахгүйгээр нэрээ нууцлах боломжгүй. Заавар нь зөвхөн хязгаарлалтыг тойрч гарахыг хэлдэг.
Бидэнд юу хэрэгтэй вэ?
Эхлэхийн тулд бидэнд чиглүүлэгч эсвэл бүх урсгалыг өөрөө дамжуулдаг ил тод гүүрний үүрэг гүйцэтгэдэг сервер хэрэгтэй. Энэ нь одоо байгаа сервер байж болно, энэ нь Raspberry Pi хайрцаг байж болно. Хэрэв та зарчмын хувьд шаардлагатай багцуудыг байрлуулж чадвал Линукс бүхий энгийн авсаархан чиглүүлэгчид ажиллах боломжтой.
Хэрэв танд тохирох чиглүүлэгч байгаа бол та гүүрийг тусад нь тохируулах шаардлагагүй бөгөөд та боломжтой.
Хэрэв таны чиглүүлэгч дээр Tor суулгах асуудал байгаа бол танд хоёр сүлжээний интерфэйс болон Debian Linux-тай ямар ч компьютер хэрэгтэй болно. Эцэст нь та үүнийг гадаад ертөнц рүү хардаг чиглүүлэгч болон дотоод сүлжээний хоорондох сүлжээний цоорхойд холбох болно.
Хэрэв сервер болон чиглүүлэгчид биш бол магадгүй.
Гүүрээ засъя
Debian дээр гүүр тавих нь асуудал биш юм. Танд bridge-utils багцад байгаа brctl програм хэрэгтэй болно:
apt install bridge-utils
Гүүрний байнгын тохиргоог /etc/network/interfaces-д тохируулсан. Хэрэв та eth0 болон eth1 интерфэйсүүдээс гүүр хийж байгаа бол тохиргоо нь дараах байдлаар харагдах болно.
# Интерфэйсүүдийг гараар тохируулах iface eth0 inet гарын авлага iface eth1 inet гарын авлага гэж тэмдэглэх # Автоматыг дахин ачаалсны дараа гүүр автоматаар гарч ирдэг br0 # DHCP IP олж авах гүүр iface br0 inet dhcp bridge_ports eth0 eth1 # Статик IP iface br0 inet статик bridge0eth218 хаягтай гүүр. .1.2 сүлжээний маск 255.255.255.0 гарц 192.168.1.1
Та гүүрний нэг тохиргоог сонгох хэрэгтэй: динамик IP эсвэл статик.
Энэ үе шатанд серверийг сүлжээний завсарлагад оруулах шаардлагагүй гэдгийг анхаарна уу. Та нэг холбогдсон интерфэйстэй байж болно.
Шинэ тохиргоог ашиглахыг системээс хүсье:
үйлчилгээний сүлжээг дахин ачаалах
Одоо та brctl show командын тусламжтайгаар гүүр байгаа эсэхийг шалгаж болно.
# brctl харуулах гүүр нэр гүүр ID STP идэвхжүүлсэн интерфэйсүүд br0 8000.0011cc4433ff үгүй eth0 eth1
Та өгсөн IP хаягийг харж, ерөнхийдөө IP тушаалыг ашиглан DHCP эсвэл статик байдлаар IP олгосон эсэхийг шалгаж болно.
# ip --family inet addr show dev br0 хамрах хүрээ глобал 4: br0:
Хэрэв бүх зүйл IP хаягтай байвал та серверийг сүлжээний завсарлагад оруулахыг оролдож болно ...
Эцсийн эцэст, серверээр дамжуулан таны сүлжээнд байгаа бүх төхөөрөмжүүд нь гадаад чиглүүлэгч хоёрын хооронд сервер байхгүй мэт дэлхийн сүлжээнд бүрэн нэвтрэх боломжтой байх ёстой. DHCP болон бусад зүйлд мөн адил хамаарна. Tor-г тохируулахаасаа өмнө эдгээрийг бүгдийг нь шалгах хэрэгтэй.
Хэрэв ямар нэг зүйл өмнөх шигээ ажиллахгүй эсвэл огт ажиллахгүй бол эхлээд асуудлыг шийдэж, дараа нь Tor-г өөрөө тохируулах хэрэгтэй.
Tor демоныг тохируулна уу
Tor-г суулгах нь ердийн байдлаар хийгддэг. Мөн улсыг холбох мэдээллийн санг суулгацгаая:
apt суулгах tor tor-geoipdb
/etc/tor/torrc тохиргооны файлын төгсгөлд та прокси серверийн функцийг идэвхжүүлэхийн тулд удирдамж нэмэх шаардлагатай.
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Tor-г дахин эхлүүлж, бидний тохиргооны DNS зарим мэдэгдэж байгаа сайт дээр ажиллаж байгаа эсэхийг шалгацгаая.
# service tor restart # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Сүүлийн тушаал нь 10.0.0.0/8 дэд сүлжээнээс IP-г гаргах ёстой.
Дахин эхлүүлэх үед Tor нь TransPort болон DNSPort-д нийтийн IP ашиглахыг тангараглаж байгаа бөгөөд энэ нь үнэндээ гадны хүмүүс хандах боломжтой. Зөвхөн дотоод сүлжээнээс холбогдохыг зөвшөөрөх замаар энэ үл ойлголцлыг засъя (миний хувьд энэ нь 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Хэрэв танд INPUT хэлхээний өгөгдмөл DROP дүрэм байгаа бол сүүлийн хоёр дүрмийг алгасаж болно.
Бүх дотоод сүлжээнд хандах хандалтыг тохируулна уу
Сүлжээнд байгаа бүх төхөөрөмжүүд Tor дахь сайтуудад хандах боломжтой байхын тулд бид бүх хүсэлтийг тусгай сүлжээ 10.0.0.0/8 руу суулгасан Tor прокси серверийн порт руу дамжуулах шаардлагатай.
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to- порт 9040
Бид PREROUTING болон OUTPUT гинжин хэлхээнд хоёр дүрмийг нэмж оруулснаар схем нь зөвхөн сүлжээнд байгаа төхөөрөмжүүдээс гадна серверээс өөрөө ажилладаг. Хэрэв энэ схем нь серверээс өөрөө ажиллах шаардлагагүй бол OUTPUT гинжин хэлхээнд дүрмийг нэмэхийг алгасаж болно.
DNS асуулга .onion бүс рүү дамжуулж байна
Энэ асуудлыг DNS серверийг үйлчлүүлэгчдэд өгөх DHCP-д өөрийн серверээр солих, эсвэл сүлжээндээ дотоод DNS сервер ашиглах нь заншилгүй бол бүх DNS урсгалыг таслан зогсоох замаар шийдэж болно. Хоёрдахь тохиолдолд та юу ч тохируулах шаардлагагүй болно, гэхдээ таны бүх үйлчлүүлэгчид, түүний дотор та дурын серверт дурын хүсэлт гаргах чадвараа алдах болно. Энэ бол тодорхой таагүй байдал юм.
Бид зөвхөн.onion домайныг дурдсан DNS хүсэлтийг суулгасан DNS серверийн порт руу дамжуулж, бусад бүх хүсэлтийг дангаар нь үлдээх болно:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --ports 5300
056f6e696f6e00 шидэт мөр нь DNS асуулгад цэг дамжуулах онцлогтой холбоотой: түүнийг дагаж мөрийн уртаар дамжуулагдана. Тийм ч учраас бидний шидэт утас сонгино гэдэг үгийн таван тэмдэгтийн хувьд 0x05-аар эхэлдэг. Мөрний төгсгөлд 0x00 хоосон байт байна, учир нь үндсэн домайн (цэг) нь тэг урттай байдаг.
Энэ арга нь таны хэрэглэгчдэд (мөн өөртөө) өөрт тохирсон DNS серверүүдийг ашиглахаас гадна зуучлагчгүйгээр дурын DNS серверээс мэдээлэл авах боломжийг олгодог. Гэсэн хэдий ч, .onion бүсэд ямар ч хүсэлт нээлттэй интернетэд хүрэхгүй.
Одоо дотоод сүлжээн дэх дурын төхөөрөмжөөс Tor сүлжээн дэх алдартай сайт руу нэвтрэхийг оролдоорой. Жишээлбэл, иймэрхүү:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Байнгын нүүсэн Байршил: https://facebookcorewwwi.onion/
Дибаг хийх, алдааг олж засварлах
Хэрэв та .onion руу илгээсэн DNS хүсэлт серверээс давж гарахгүй байгаа эсэхийг шалгахыг хүсвэл тэдгээрийн байхгүй эсэхийг дараах байдлаар шалгаж болно:
ngrep -q -d br0 -q -W byline onion udp порт 53
Ер нь сервер дээр гүйцэтгэсэн энэ команд нь багцуудыг огт харуулах ёсгүй, өөрөөр хэлбэл таны гаргадаггүй зүйлийг гаргахгүй.
Хэрэв Firefox .onion-г харахгүй байвал
Хэрэв энэ нь таныг зовоож, санамсаргүй байдлаар нэрээ нууцлах магадлал танд төвөг учруулахгүй бол (учир нь бид нээлттэй интернет дээр DNS асуулгад .onion оруулахыг зөвшөөрөхөө больсон) network.dns.blockDotOnion түлхүүрийг ашиглан about:config-д энэ тохиргоог идэвхгүй болгож болно.
Mobile Safari болон .onion
Safari болон Chrome зэрэг iOS програмууд .onion-г ийм байдлаар ашиглах үед үндсэндээ үл тоомсорлодог. Ийм схемийн хүрээнд энэ асуудлыг яаж засахаа мэдэхгүй байна.
Үйлчилгээ үзүүлэгч IP-г DNS-д орлуулдаг
Зарим үйлчилгээ үзүүлэгчид эдийн засгийн шалтгаанаар сайтуудыг IP эсвэл DPI-ээр хаахын оронд зөвхөн хориотой сайтуудын жагсаалтын дагуу DNS хүсэлтийн IP-г орлуулдаг.
Энэ асуудлыг шийдэх хамгийн энгийн шийдэл бол Google Public DNS серверүүд рүү шилжих явдал юм. Хэрэв энэ нь тус болохгүй бол таны үйлчилгээ үзүүлэгч бүх DNS траффикийг сервер рүүгээ чиглүүлдэг гэсэн үг юм бол та Tor DNS ашиглах руу шилжиж, бүх урсгалыг түүн рүү шилжүүлж болно.
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --ports 5300
Миний сүлжээ 10.0.0.0/8-аас эхлэн IP ашигладаг
Асуудалгүй! Дээрх бүх зааварт нөөцлөлтөөс бусад дэд сүлжээг ашиглана уу. Нухацтай, нөөцөлсөн хүмүүст анхаарлаа хандуулаарай.
Нэмж дурдахад бүх хүрээг нэг дор ашиглах шаардлагагүй - та дэд сүлжээнд өөрийгөө хязгаарлаж болно. Жишээлбэл, 10.192.0.0/10 хийх болно.
Tor-оор дамжуулан блоклохыг тойрч гарах
Tor ашиглан хаагдсан сайтууд руу нэвтрэхийн тулд та эхлээд газарзүйн байршлаас шалтгаалсан хязгаарлалтын дагуу гарах цэгүүдийг ашиглан савангийн зүүг солихгүй байх хэрэгтэй. Үүнийг torrc-д тухайн улс оронд ашиглах боломжгүй гаралтын цэгүүдийг зааж өгснөөр хийж болно.
ExcludeExitNodes (RU), (UA), (BY)
Бүртгэлийг шинэчилж байна
Бүртгэл нь зогсохгүй бөгөөд хаагдсан сайтуудын жагсаалтыг нөхөж байна. Тиймээс та IP-ийн бодит жагсаалтыг үе үе татаж аваад ipset дээр нэмэх хэрэгтэй. Үүнийг хийх хамгийн сайн арга бол жагсаалтыг бүхэлд нь татаж авах биш, зөвхөн өөрчлөлтийг, жишээлбэл, GitHub дээрх эндээс татаж авах явдал юм.
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git clone https://github.com/zapret-info/z-i.git. ipset flush blacklist tail +2 dump.csv | cut -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset хар жагсаалт нэмнэ
Жагсаалтад орсон зөвхөн IP хаягийг устгаж, нэмэх боломжтой бөгөөд үүний тулд танд git whatchanged хэрэгтэй болно.
Хэрэв дээрх скрипт танд тохирсон бол /etc/cron.daily/blacklist-update дотор байх ёстой. Энэ файлыг гүйцэтгэх зөвшөөрлийг өгөхөө бүү мартаарай.
chmod +x /etc/cron.daily/blacklist-update
Тохиргоог хадгалах
apt install iptables-persistent
dpkg-reconfigure iptables-persistent
Харамсалтай нь ipset-д зориулсан ийм тохиромжтой багц хараахан гараагүй байгаа боловч энэ асуудлыг /etc/network/if-pre-up.d/ipset скриптээр шийдэж байна:
#!/bin/sh ipset -exist хар жагсаалтын хэш үүсгэх :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist хар жагсаалт
Энэ скриптийг гүйцэтгэх эрхийг өгөхөө мартуузай:
chmod +x /etc/network/if-pre-up.d/ipset
Дараагийн дахин ачаалах үед энэ скриптийг ажиллуулж, хаагдсан IP-ийн жагсаалтыг сэргээх болно.
Хэрэв та серверийн талаар мартвал ...
За, надад хэлээч, хэрэв би .onion-д сервергүй, дотооддоо, нэг компьютер дээр ижилхэн хялбар хандахыг хүсвэл яах вэ?
Асуудалгүй! Энэ тохиолдолд бүх зүйл илүү хялбар байдаг. torrc-д эдгээр гурван мөрийг нэмэхээ боль:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Дараа нь iptables-д зориулсан эдгээр хоёр дүрэм:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --порт руу 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j REDIRECT --ports 5300
Мөн та шалгаж болно. Хаагдсан сайтуудад хандах хандалтыг дээрх зааврын дагуу тохируулна.
Нэг халбага давирхай
Энгийн бөгөөд тохиромжтой хэдий ч энэ арга нь Tor сүлжээний зарим дутагдлыг өвлөн авсан.
Та нэрийн өмнөөс сүлжээн дэх хориотой сайтуудад ханддаг гарах зангилаа, энэ нь гарах цэгийн администраторуудад зорилтот сайт шифрлэгдээгүй тохиолдолд таны урсгал болон нууц үгээ ажиглах үндсэн чадварыг өгдөг (хаягны эхэнд https байх ёстой эсвэл хаягийн мөрөнд ногоон цоож 🔒 байх ёстой).
Ийм сайтуудын админууд таныг нойргүй хонохын тулд дагахгүй байх гэж найдаж байна, гэхдээ...
Хэрэв та Tor-аар дамжуулан найдвартай бус холболтоор сайт руу нэвтэрсэн бол нэвтрэх болон нууц үгээ үргэлж санаж байх хэрэгтэй. үндсэндээдүрэмт хувцастай хүний ширээн дээрх үсэг бүхий хавтсанд байж болно.
Тэгээд л болоо!
Ямар нэг зүйл тодорхойгүй хэвээр байна уу? Танд засах шаардлагатай зүйл байна уу эсвэл танд онцгой таалагдсан зүйл байна уу? Сэтгэгдэл дээр доор бичнэ үү.
Ийм санаачлага гаргаснаар бидний нүдэн дээр үнэгүй интернет жижгэрч байна. Үүний зэрэгцээ ихэнх хэрэглэгчид Tor болон VPN-ийг ямар ч байдлаар хязгаарлах боломжгүй гэдэгт итгэлтэй байна. Валютын ханш, нефтийн үнийг хянах бясалгалын үйлчилгээ болох Zenrus-ийг бүтээгч, өнөөдөр хичээлийн бүртгэл эхэлсэн Москвагийн кодчиллын сургуулийн багш Михаил Лиснякаас энэ талаар зөвлөгөө авлаа.
VPN - товчхондоо бол манай интернет гэх мэт өөр сүлжээн дээр виртуал сүлжээ үүсгэх явдал юм. Өөрөөр хэлбэл, хэрэглэгч болон VPN серверийн хооронд шифрлэгдсэн суваг үүсгэгддэг бөгөөд түүгээр дамжуулан хэрэглэгч өөр сүлжээнд холбогддог бөгөөд Москвагаас ирсэн хүн жишээлбэл Амстердамаас ирсэн юм шиг интернетэд нэвтэрдэг болох нь харагдаж байна. Одоо бид VPN хувилбаруудын аль нэгийг авч үзэж байгаа бөгөөд энэ нь мэдээний тухай өгүүлдэг бөгөөд ерөнхийдөө өөр өөр төрөл, програмууд байдаг боловч тэдгээрийн ажиллах зарчим нь туйлын ижил юм.
Tor бол шифрлэлт, зуучлагч зангилааны тархсан сүлжээнд суурилсан чиглүүлэлтийн систем юм (тэдгээр нь ердийн Tor хэрэглэгчид байж болно). Tor-д холбогдох үед үйлчлүүлэгч боломжтой зуучлагч цэгүүдийн жагсаалтыг цуглуулж, тэдгээрийн хэд хэдэнийг сонгож, илгээсэн багц бүрийг сонгосон зангилааны түлхүүрээр шифрлэдэг. Цаашилбал, хэд хэдэн түлхүүрээр шифрлэгдсэн энэ пакетыг эхний (оролтын) зуучлагч зангилаа руу илгээдэг. Тэр зангилаа түлхүүрийнхээ шифрийг тайлж, пакетыг цааш нь илгээдэг, хоёр дахь зангилаа нь өөрийнхөө шифрийг тайлах гэх мэт. Төгсгөлд нь сүүлчийн зангилаа нь сүүлчийн "давхарга" -ыг тайлж, пакетыг интернет рүү илгээдэг. Та үүнийг сонгино гэж төсөөлж болно, үүнээс дараагийн зангилаа бүр давхарга арилгадаг. Үнэн хэрэгтээ, Тор нь "Согины чиглүүлэлт" буюу "сонгины чиглүүлэлт" гэсэн үг юм. Пакетийн бараг бүх зам нь шифрлэгдсэн бөгөөд оролтын зангилаанаас өөр хэн ч пакет илгээгчийг мэддэггүй тул систем нь траффикийн нэргүй, аюулгүй байдлыг хангадаг.
Гэхдээ та Tor-г ажиллахыг хориглож болно. Нэгдүгээрт, Tor үйлчлүүлэгч ямар нэгэн байдлаар оролтын зангилааны жагсаалтыг авах ёстой. Үүнийг хийхийн тулд үйлчлүүлэгч эдгээр зангилааны үндсэн бүртгэлд холбогддог. Хэрэв та энэ үндсэн сервер рүү нэвтрэхийг хоригловол үйлчлүүлэгч сүлжээний оролтын зангилааны жагсаалтыг авах боломжгүй бөгөөд уг сүлжээнд холбогдох боломжгүй болно. Зангилааг хүлээн авах гарын авлагын арга байдаг (жишээлбэл, шуудангаар), гэхдээ энэ нь нэгдүгээрт, тийм ч тохиромжтой биш, хоёрдугаарт, эдгээр зангилааны хаягийг хяналтын байгууллагууд олсон бол тэдгээрийг шууд хааж болно.
Нэмж дурдахад DPI гэх мэт систем байдаг - пакетийн шинжилгээ, шүүлтүүрийн систем. Одоо энэ системийг үйлчилгээ үзүүлэгчид аажмаар Орост нэвтрүүлж байна. Энэ нь нэлээд үнэтэй тул бүх үйлчилгээ үзүүлэгч үүнийг ашигладаггүй. Гэхдээ одоохондоо ийм байна. Ойрын ирээдүйд бүх нурууны үйлчилгээ үзүүлэгчид суулгана гэж бодож байна. Энэ систем нь урсгалыг бага түвшинд шинжилж, энэ траффикийн төрлийг (шифрлэгдсэн боловч агуулгыг өөрөө хүлээн авахгүйгээр) тодорхойлж, шүүж, шаардлагатай бол хаах боломжтой. Одоо эдгээр системүүд Tor урсгалыг тодорхой шалгуураар илрүүлэх боломжтой болсон. Тор хариуд нь замын хөдөлгөөний масклах системийг (obfsproxy) гаргаж ирсэн боловч аажмаар тэд үүнийг тодорхойлж сурч байна. Мөн энэ бүхнийг ашиглах нь энгийн хэрэглэгчдэд улам бүр хэцүү болж байна.
Эрх баригчид хүсвэл хэрэглэгчдийн дийлэнх олонхийн бүх зүйлийг блоклох болно. Ялангуяа зөрүүд гейкүүд цоорхойг олох боломжтой байх болно, гэхдээ энгийн хэрэглэгчдийн хувьд энэ нь сонголт биш юм.
Өөрөөр хэлбэл, ижил DPI ашиглан Tor-ийг улс даяар хориглож болно. Ийм программ хангамжийг ашигласан тохиолдолд эрүүгийн хариуцлага хүлээлгэх үед тэд хэд хэдэн шоуны шүүх хурлыг хурдан явуулах бөгөөд энэ нь бөөнөөр нь дуусах болно. Одоохондоо Tor-г эрүүл саруул орлуулах зүйл алга. Үүнтэй ижил i2p-ийг мөн адил хориглодог. Одоо Tor блоклох нь амаргүй, үнэтэй, гэхдээ төр үүнийг үнэхээр хүсч байгаа бол бүрэн боломжтой.
Ерөнхийдөө бүх зүйлийг аль хэдийн зохион бүтээсэн, жишээ нь алдар суут Хятадад ашигласан. Мэдэгдэж буй хостуудыг хааж, траффикийг DPI-ээр шинжилж, тодорхойлсон пакетуудыг блоклодог (мөн илгээгчийн мэдээллийг зөв газарт илгээдэг). Дээрээс нь Их галт ханын зарим серверт сэжигтэй пакет "түр түдгэлзүүлсэн" үед "дамжуулах холболт" систем байдаг бөгөөд галт хана нь өөрөө энэ серверт ижил хүсэлт гаргаж, хариултыг шинжилдэг. Тэгээд янз бүрийн шалгуурын дагуу боломжтой эсэх нь тодорхойлогддог.
Эрх баригчид хүсвэл хэрэглэгчдийн дийлэнх олонхийн бүх зүйлийг блоклох болно. Мэдээжийн хэрэг, ялангуяа зөрүүд geeks цоорхойг олох боломжтой болно, тэдгээр нь бүрхэгдэх болно, шинэ цоорхойнууд байх болно - энэ нь вирус, вирусны эсрэг тохиолддог шиг мөнхийн үйл явц юм. Гэхдээ энгийн хэрэглэгчдийн хувьд энэ нь сонголт биш юм. Нэмж дурдахад цагаан жагсаалтыг нэвтрүүлэх эсвэл гадаад интернетийг бүхэлд нь хаах боломж үргэлж байдаг. Гэхдээ ийм байдалд хүрэхгүй байх гэж найдаж байна.
