tor
Розбіжності
Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
| Порівняння попередніх версійПопередня ревізіяНаступна ревізія | Попередня ревізія | ||
| tor [2015/10/21 21:46] – Общесетевой wombat | tor [2015/10/21 21:54] (поточний) – [Ссылки] ArchLinux Wiki wombat | ||
|---|---|---|---|
| Рядок 12: | Рядок 12: | ||
| TransListenAddress 127.0.0.1 | TransListenAddress 127.0.0.1 | ||
| TransListenAddress 192.168.1.1 | TransListenAddress 192.168.1.1 | ||
| - | DNSPort | + | DNSPort |
| DNSListenAddress 127.0.0.1 | DNSListenAddress 127.0.0.1 | ||
| DNSListenAddress 192.168.1.1 | DNSListenAddress 192.168.1.1 | ||
| - | |||
| - | ------------------ | ||
| - | |||
| - | | ||
| - | | ||
| - | Log info file / | ||
| - | User debian-tor | ||
| - | | ||
| - | | ||
| </ | </ | ||
| Рядок 38: | Рядок 29: | ||
| | | ||
| + | |||
| ## Transproxy rules for Tor | ## Transproxy rules for Tor | ||
| | | ||
| | | ||
| + | |||
| + | # First rules in OUTPUT chain | ||
| + | #iptables -A OUTPUT -m conntrack --ctstate INVALID -j LOG --log-prefix " | ||
| + | iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP | ||
| + | iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix " | ||
| + | iptables -A OUTPUT -m state --state INVALID -j DROP | ||
| + | |||
| + | iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,FIN ACK,FIN -j LOG --log-prefix " | ||
| + | iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,RST ACK,RST -j LOG --log-prefix " | ||
| + | iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,FIN ACK,FIN -j DROP | ||
| + | iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,RST ACK,RST -j DROP | ||
| + | |||
| + | |||
| # Allow Tor and the network user | # Allow Tor and the network user | ||
| | | ||
| Рядок 107: | Рядок 112: | ||
| iptables -A OUTPUT -j REJECT | iptables -A OUTPUT -j REJECT | ||
| </ | </ | ||
| + | |||
| + | <file bash " | ||
| + | / | ||
| + | |||
| + | |||
| + | *nat | ||
| + | :PREROUTING ACCEPT [6:2126] | ||
| + | :INPUT ACCEPT [0:0] | ||
| + | :OUTPUT ACCEPT [17:6239] | ||
| + | : | ||
| + | |||
| + | -A PREROUTING ! -i lo -p udp -m udp --dport 53 -j REDIRECT --to-ports 5353 | ||
| + | -A PREROUTING ! -i lo -p tcp -m tcp --tcp-flags FIN, | ||
| + | -A OUTPUT -o lo -j RETURN | ||
| + | --ipv4 -A OUTPUT -d 192.168.0.0/ | ||
| + | -A OUTPUT -m owner --uid-owner " | ||
| + | -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 5353 | ||
| + | -A OUTPUT -p tcp -m tcp --tcp-flags FIN, | ||
| + | COMMIT | ||
| + | |||
| + | *filter | ||
| + | :INPUT DROP [0:0] | ||
| + | :FORWARD DROP [0:0] | ||
| + | :OUTPUT DROP [0:0] | ||
| + | |||
| + | -A INPUT -i lo -j ACCEPT | ||
| + | -A INPUT -p icmp -j ACCEPT | ||
| + | -A INPUT -m conntrack --ctstate RELATED, | ||
| + | --ipv4 -A INPUT -p tcp -j REJECT --reject-with tcp-reset | ||
| + | --ipv4 -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable | ||
| + | --ipv4 -A INPUT -j REJECT --reject-with icmp-proto-unreachable | ||
| + | --ipv6 -A INPUT -j REJECT | ||
| + | --ipv4 -A OUTPUT -d 127.0.0.0/8 -j ACCEPT | ||
| + | --ipv4 -A OUTPUT -d 192.168.0.0/ | ||
| + | --ipv6 -A OUTPUT -d ::1/8 -j ACCEPT | ||
| + | -A OUTPUT -m conntrack --ctstate RELATED, | ||
| + | -A OUTPUT -m owner --uid-owner " | ||
| + | --ipv4 -A OUTPUT -j REJECT --reject-with icmp-port-unreachable | ||
| + | --ipv6 -A OUTPUT -j REJECT | ||
| + | COMMIT | ||
| + | |||
| + | </ | ||
| + | |||
| + | Затем [[dnsmasq|настроить DHCP-сервер]] так, чтобы он выдвал наш прозрачный прокси в качестве единственного DNS-сервера своим клиентам в локальной сети. | ||
| ====== Ссылки ====== | ====== Ссылки ====== | ||
| Рядок 120: | Рядок 169: | ||
| [[https:// | [[https:// | ||
| + | |||
| + | [[https:// | ||
tor.1445463979.txt.bz2 · Востаннє змінено: повз wombat