Собственно пришла мысль продумать схему для доступа через TOR не ко всем ресурсам, а только к сайтам заблокированным Роспотребнадзором и.onion ресурсам. Загонять весь трафик в tor это не самая лучшая мысль так как скорость и стабильность связи там не ахти, а вот направить запросы к.onion и сайтам типа rutraker.org и kinozal.tv в tor, это неплохая мысль.
Можно конечно трафик вместо TOR перенаправить в OpenVPN и дальше на vps хостинг где нибудь в Европах, но мы же не террористы какие что бы совсем уж маскироваться, да и мои честные перемещения пусть мониторят и записывают. Я все равно ничего противозаконного не делаю, только Донцову с рутрекера скачаю пару раз, а потом удалю, не читать же ее.
Итак, кто тут без греха пусть первый бросит камень вон куда нибудь туда, а мы начинаем. Схема шайтан машины будет выглядеть следующим образом:
Начнем с настройки блока отвечающего за TOR. Тут используется схема которую я в прошлых заметках уже описывал.
Устанавливаем необходимые пакеты:
# apt-get update
# aptitude install tor
После установки пакетов TOR работает в режиме SOCKS 5 прокси сервера и принимает соединения на порту 9050. Если у вас есть приложение которое работает с использованием SOCKS протокола и ему необходимо анонимное подключение, то можно смело указывать ему в параметрах подключения:
Protocol: socks5
Host: localhost
Port: 9050
Если вы попытаетесь настроить Firefox на использование SOCKS5-proxy и укажите ему эти параметры, то на любой запрос будете получать сообщение:
It appears you have configured your web browser to use Tor as an HTTP proxy.
This is not correct: Tor is a SOCKS proxy, not an HTTP proxy.
Please configure your client accordingly.
Не умеет Firefox (как в принципе и chrome) нормально работать c SOCKS-прокси и им требуется еще одна прослойка. В качестве этой прослойки используется Privoxy, причем это не только прокси сервер, но еще и фильтр повышающий уровень вашей приватности. Установим пакет:
# aptitude install privoxy
В файл /etc/privoxy/config добавьте строку:
forward-socks5t / 127.0.0.1:9050 .
Таким образом мы перенаправим все запросы в TOR. Privoxy принимает подключения на порту 8118.
Для тестирования работоспособности добавьте в настройки браузера подключение при помощи HTTP-proxy на локальный хост (127.0.0.1) и порт 8118.
Перезапустите Privoxy командой:
# /etc/init.d/privoxy restart
Запустите браузер и перейдите на сайт http://2ip.ru . В качестве вашего ip-адреса и страны должно быть указано нечто случайное, а не ваш провайдер. Например так:
Если у вас все получилось, то доступ в сеть TOR вы настроили успешно и можно приступить к настройками. Для доступа к настройкам Privoxy введите в строке браузера http://config.privoxy.org/ или http://p.p/ , в результате вы перейдете в web-интерфейс управления Privoxy:
Через Web-интерфейс особо по рулить не получится, да и менять там особо нечего, в большинстве случаев сойдет конфигурация по умолчанию.
Теперь нам необходимо отделять зерна от плевел и направлять в сеть TOR обращения только к ряду ресурсов, для этого мы будем использовать прокси-сервер Squid. Как обычно установим его командой:
# aptitude install squid3
Нашей задачей согласно представленной схемы является настроить перенаправление части запросов в TOR (список доменов в файле /etc/squid3/redirect-to-tor.dat) с отправкой прочих в сеть провайдера. Конфигурационный файл для такой схемы будет выглядеть следующим образом:
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#Перечень доменов запросы к которым отправляем в TOR (Берем из файла)
acl redirect-to-tor dstdomain "/etc/squid3/redirect-to-tor.dat"
acl redirect-to-onion dstdomain .onion
#Настройки куда отправляем запросы к TOR
cache_peer 127.0.0.1 parent 8118 0 no-query proxy-only default name=tor-proxy-01
never_direct allow redirect-to-tor
never_direct allow redirect-to-onion
always_direct allow all !redirect-to-tor !redirect-to-onion
# Запрещаем кэширование web-интерфейса privoxy и 2ip.ru (для тестов)
acl disable-dom-cache dstdomain config.privoxy.org p.p 2ip.ru
cache deny disable-dom-cache
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3/
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
Обратите внимание, что я запретил кэширование 2ip.ru и web-интерфейса управления privoxy. Это было сделано для тестирования и в реальной конфигурации может быть отключено.
Перечень файлов доступ к которым осуществляется с использованием TOR находится в файле /etc/squid3/redirect-to-tor.dat, файл имеет вид обычного списка с переносом построчно:
config.privoxy.org
p.p
2ip.ru
kinozal.tv
rutracker.org
Настройте браузер на использование прокси-сервера squid на локальном хосте (127.0.0.1) и порту 3128 И cобственно вот и все.
Теперь до запрещенных Роспотребнадзором сайтов ходим через tor, а до обычных напрямую. Ну и бонусом до сети.onion естественно через TOR.
Написать статью нас
побудил один из вопросов на Форуме:
У нас в универе LAN сетка,
имеется проскси сервер через него и только
через него мы выходим в инет, попытка
сменить прокси сервер ни к чему не приводит,
а лишь только к одному, "НЕТ ИНЕТА", и
инет сделали ограниченным. Ограниченность
заключается в следующем. Они (каким-то
образом) закрыли доступ к мп3 файлам и, по-моему, к порно (я не увлекаюсь этим), а мне ну
просто нужны несколько любимых песенок (ты
ведь знаешь как девушки любят музыку 🙂). При
попытке зайти на сайт мп3 выскакивает
сообщение:
ДОСТУП К САЙТУ ЗАКРЫТ АДМИНИСТРАТОРОМ
Вопрос: Как обойти это дело? Какие способы и
методы в настоящий момент имеются? Я с этим
в первый раз столкнулась, посоветуй что-нибудь,
а то мой парень (трепач, а еще называет себя
КУЛ ХАКЕРОМ) мне головушку задурил этими
эксплоитами (я против них не против, даже
наоборот, просто я с этим никогда не имела
дело).
Такие вопросы поступают
периодически, поэтому пройти мимо темы
просто нога не поднималась:).
Как обмануть прокси
Идея эта пришла ко мне,
когда я настраивал squid для обрезания
баннеров и прочих счетчиков. Прокси
фильтрует трафик на основе некоторых
ключевых слов, присутствующих в посылаемом
запросе. Для того, чтобы обойти фильтр,
необходимо избавиться от этих ключевых
слов. Итак, для обмана потребуется:
1. Любой удаленный шелл,
позволяющий работать с lynx-ом (текстовый www-броузер),
ftp-клиентом и подключаться к нему по
протоколу ftp.
2. Telnet- или ssh-клиент (так как некоторые
сервера с халявными шелами разрешают
подключение только через ssh) на локальной
машине. Telnet входит в стандартную
инсталляцию Windows. Ssh-клиент можно скачать с
сервера http://www.openssh.com
3. /dev/hands 🙂
Шелл можно получить
довольно просто. Существует множество
сайтов со списком серверов, выделяющих
бесплатный эккаунт. Например http://www.freebelt.com/freeshells.html .
Или можно на поисковиках типа altavista или google
поискать по ключу "free shell". В общем,
способов получения шелла довольно много. Да,
и еще одно. При выборе шелла смотрите на
дисковую квоту (объем выделяемой дисковой
памяти под эккаунт). Желательно, чтобы он
быль не менее 10 Мб. После регистрации и
подключения к удаленному шеллу, запускаете
lynx и вперед, на поиски нужной информации.
Вот несколько комманд lynx-а, которые могут
использоваться в процессе работы: G -
Переход на сайт Up,Down - перемещение по
ссылкам Left - возврат на предыдущую станицу
Right - переход по ссылке D - загрузить файл O -
опции настройки Q - выход H - помощь. Найдя
нужные Вам материалы, загружаете их на свой
эккаунт, переименовываете закачанные файлы
во что-нибудь нейтральное, после чего
подключаетесь к эккаунту ftp-клиентом и
спокойно скачиваете всю эту лабуду к себе
на машину. После чего переименовываете ее
обратно в оригинальные имена и смело
хихикаете над админом 😉
З.Ы. Если при работе с Telnet-ом
Вы закроете окно (не завершая сессию), то
процессы, запущенные на удаленном шеле (например
скачивание большого файла) будут
продолжать выполняться.
З.Ы.Ы. А парень твой действительно из разряда КУЛЬ хацкеров...
Один из лучших способов обходить ограничения - это использование ssh соединения для создания универсального прокси-сервера прямо на вашем компьютере. Сегодня я хочу развить эту тему и ответить на следующие вопросы:
1) Где мне вообще взять этот "доступ по ssh"? Это очень сложно?
2) Вы уже находитесь за прокси-сервером, который не позволяет устанавливать прямые соединения с другими компьютерами. Как воспользоваться предложенным трюком?
3) Что, хозяева прокси-сервера правда не увидят, с какими ресурсами я соединяюсь? Это правда обход прокси?
Если вас заинтересовала эта тема, читаем дальше.
Доступ по ssh?
Если вы вообще не знаете, что такое , предлагаю ознакомиться со статьей по ссылке. Грубо говоря, это такой , по которому можно устанавливать соединение с другим компьютером. Так где же мне взять компьютер, который воспримет подобное обращение? Предложу 4 варианта.
- Подумайте, где вы могли быть и пользоваться компьютером на базе Линукса (например, какой-нибудь зарубежный институт). У вас сохранились имя пользователя и пароль? Тогда, если они не удалены, вы скорей всего сможете воспользоваться компьютером этой организации.
- У вас есть свой сайт? Тогда очень возможно, что хостер предоставляет доступ по ssh. Если же сайта нет, то можно специально для такой цели купить хостинг и домен (или хостинг с реальным IP). Например, самый дешевый тариф по предыдущей ссылке обойдется где-то в 50 рублей в месяц. Сайт делать не обязательно.
- Я уже писал про использование роутера для настройки . Так вот, если проделать эту процедуру и купить у провайдера , то ваш домашний компьютер снанет хорошим помощником
- Заведите аккаунт на одном из этих сервисов . Может быть нестабильно, зато бесплатно.
ssh из-за прокси
И это возможно. Я еще раз отправлю вас прочитать мою статью про . Как там и сказано, скачайте программу putty и настройте ее, перейдя на вкладку Connection - SSH - Tunnels, type: Dynamic, source port: 8080 (скриншоты есть в статье по ссылке). Теперь остается настроить putty чтобы она соединялась не напрямую, а использовала мешающий нам прокси-сервер. Для этого идем на вкладку Connection - SSH и прописываем настройки прокси-сервера.
Правильные настройке можно узнать согласно инструкции в моей статье про . Если вы все пропишите без ошибок, putty должна соединиться с нужным сервером и создать socks-proxy на вашем локальном компьютере с портом 8080. Про его использование в firefox я уже писал в статье про .
Правда никто не узнает, какие ресурсы я посещаю?
И да, и нет. Во-первых, хозяева местного прокси-сервера будут знать, что вы соединились со своим ssh-компьютером. Все. Какие ресурсы вы посещаете, они не узнают - весь трафик пойдет через putty. Но о наличии этого трафика они знать будут. Если вы способны его объяснить или же нет жесткого контроля, то все будет отлично.
Но есть и другая сторона. Если вы соединяетесь, допустим, через домашний компьютер, то для всех это и будет выглядеть будто вы подключились из дома. Хорошо это или плохо - решать вам.
И еще один очень важный момент - нужно не забыть про разрешение . Дело в том, что интересующее вас доменное имя (например, заблокированное vkontakte.ru) должно сначала преобразоваться в IP-адрес. И при настройках по умолчанию оно будет разрешаться не через ssh-туннель, а напрямую. Что либо будет заблокировано, либо как минимум зафиксировано местным прокси-сервером. Поэтому делаем следующее: запускаем firefox, в адресную строку вводим about:config, нажимаем ok на грозном предупреждении, что мы все можем сломать. Мы попадаем на страницу, на которой можно менять дополнительные настройки firefox. В строке фильтр вводим proxy.
Скорей всего, строчка network.proxy.socks_remote_dns у вас будет не выделена, а значение в ней будет false. Щелкните по ней двойным нажатием, чтобы она пожирнела, а значение сменилось на true. Все, настройка выполнена. Теперь dns тоже будут разрешаться на той стороне туннеля.
Что-то непонятно про обход прокси? Задавайте вопросы. Я надеюсь, что эта статья поможет вам обойти ограничения прокси-сервера.
А знать надо минимально-необходимый перечень портов, которые должны быть открыты. Например, порт 80 необходим для работы с HTTP (практически все WEB-браузеры используют этот порт для работы с WWW). 21 порт необходим для работы с FTP-серверами и т.д. Для более полной информации о портах можно обратиться к статье: Порты TCP . Так вот, хорошим правилом будет минимальное количество открытых портов. Тем самым вы уменьшите вероятность нападения извне на вашу сеть. Также, в зависимости от используемого прокси-сервера, можно установить список допущенных пользователей или компьютеров и период доступа.
2. Доступ в Интернет из ЛВС, организованной как домен.
Здесь все немного сложнее. Если ваша ЛВС основана на Windows Server, то наиболее приемлемым будет использование Microsoft ISA Server (Internet Sharing & Acceleration). Во-первых, этот продукт полностью интегрируется с Active Directory. Во-вторых, имеет множество средств мониторинга и аудита. В-третьих, не требует особых знаний при настройке, которая производится при помощи специальной оснастки. Описывать процесс установки и настройки ISA Server в этой статье я не буду, поскольку для этого потребуется целая книга. В любом случае, при необходимости всегда можно найти требуемые мануалы и инструкции. Один из недостатков ISA Server – необходимость установки на каждую рабочую станцию домена, с которой предполагается доступ в Интернет, клиентской части (mspclnt).
3. Как обойти закрытые порты ISA-сервера и как пройти через него браузером Opera?
В достаточно большой (или не очень) корпоративной сети на базе операционных систем семейства Windows, системные администраторы, как правило, применяют в качестве прокси-сервера ISA Server. Это понятно и объяснимо, в силу родственности ISA и Windows Server, а так же прочих, типа Active Directory, свойств. Для обеспечения максимальной безопасности, администратор чаще всего оставляет открытыми минимальное количество портов – 80, 8080, 443, ну, и может быть, еще 21, 25 и 110. Т.е. многие программы, требующие для нормальной работы открытия специфических портов (например, как MIRC, требующий порт 6667 и т.д.), в этих условиях нормально функционировать не могут. Кроме того, хотя ISA Server предусматривает два типа авторизации – NTLM (когда для авторизации пользователя используется Active Directory) и т.н. базовую – когда для доступа необходимо ввести имя пользователя – пароль. Некоторые WEB – браузеры, в отличие от Internet Explorer не используют NTLM авторизацию (например, Opera) и поэтому их использование кажется невозможным. Однако, это не так. Есть способы обойти эти препятствия.
Авторизация
Начнем с обхода NTLM – авторизации. Это необходимо для почти полноценного функционирования браузера Opera (и некоторых других). Почему почти? Потому что, та же Опера имеет интегрированный Чат, для которого, кроме обхода NTLM – авторизации, необходим еще и доступ через специфичный порт, например 6667. В настоящее время одним из оптимальных решений является применение «NTLM Authorization Proxy Server». Это программа, написанная на языке Pyton, и для ее работы необходимо сначала установить интерпретатор Python (бесплатную версию можно скачать с офсайта компании http://www.python.org/) . Сам APS можно взять с http://www.geocities.com/rozmanov/ntlm/ . Pyton ставится без проблем, при настройке ASP необходимо лишь указать путь к папке с установленным Python, и поправить в соответствии с вашими настройками и параметрами файл server.cfg. Пример файла помещен ниже:
# здесь номер порта (по умолчанию 5865) LISTEN_PORT:9000 # If you want APS to authenticate you at WWW servers using NTLM then just leave this # value blank like PARENT_PROXY: and APS will connect to web servers directly. # And NOTE that NTLM cannot pass through another proxy server. PARENT_PROXY: #здесь имя вашего ISA сервера, например OurISA.yoursite.org PARENT_PROXY_PORT:80 #здесь открытый на ISA порт, например 80 или 8080 # Windows Domain DOMAIN: #здесь имя домена, как в примере yoursite.org # What user"s name to use during authorization. It may differ form real current username. USER: #здесь ваш (или не ваш) Логин для входа в домен # Password. Just leave it blank here and server will request it at the start time. PASSWORD: #здесь пароль для входа в домен/ # Experimental option. Set it to 1 to switch on UNICODE and NT response part in the auth action. # In a nut shell, you may want to try setting it to 1 if you are sure that you have to use NTLM # authentication and it just does not work for you. Most of times everything should work without # this option. FULL_NTLM:0 # Highly experimental option. Do not touch. See research.txt for details. NTLM_FLAGS: 06820000 # Set to 1 if you want to grant this authorization service to clients from other computers. # NOTE: all the users from other hosts that will be using you copy of APS for authentication # will be using your credentials in NTLM auth at the remote host. ALLOW_EXTERNAL_CLIENTS:0 # If you want to allow some other but not all computers to use your proxy for authorization, # just set ALLOW_EXTERNAL_CLIENTS:0 and put friendly IP addresses here. # Use space as a delimiter. # NOTE that special addesses don"t work here (192.168.3.0 for example). FRIENDLY_IPS: # Requested URLs are written to "url.log" file. May be useful. URL_LOG:0 # This section describes what and how the server should change in the clients headers. # Made in order to prevent parent proxy from seeing that you are using wget instead of IE5.5 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, applica-tion/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, */* User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98) # for windows 2000 emulation ;) # User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT5) # You can uncomment these chages in client"s header to mimic IE5+ better, but in this case # you may expirience problems with *.html if your client does not really handle compression. #Accept-Encoding: gzip, deflate #Тип аутентификации. Если не сработает так, как есть, можно поставить 1 и 1. LM_PART:1 NT_PART:1 #Можно перевести NTLM"скую аутентификацию в базовый вид, поставив тут 1. Тогда при начале работы браузер попросит логин и пароль. NTLM_TO_BASIC:1 # Set this to 1 if you want to see debug info in many log files. One per connection. DEBUG:0 # Set this to 1 to get even more debug info. BIN_DEBUG:0 # Set this to 1 to see some strange activity on screen. Actually you won"t want it. SCR_DEBUG:1 # Not actually a debug option but gives you some details on authentication process # into *.auth logs. Also see research.txt. AUTH_DEBUG:0
После настройки запускаете runserver.bat и все. Далее, необходимо настроить подключение в Opera.
На этом скриншоте показаны настройки прокси-серверов для Оперы. Для других браузеров настройки делать по аналогии.
Обход закрытых портов
Теперь перейдем ко второй части – обход закрытых портов. Здесь нам поможет один из т.н. мапперов – HTTPort. Кстати, для нормальной его работы в условиях ISA сервера с NT-авторизацией, необходимо запускать описанный раньше ASP. Качаем эту программулину здесь: http://www.htthost.com/download.boa
Устанавливаем и настраиваем.
Как показано на скриншоте ниже, в первую строку прописываем IP и номер порта (ip ло-кального компьютера, номер порта – согласно настроек в ASP). Ставим галочку «Proxy Requires authentication» и вписываем логин и пароль для входа в домен. User–Agent лучше оставить как есть, а Bypass mode установить в Auto. Нижние поля не заполняем, по крайней мере, пока у вас нет адреса удаленного хоста для HTTPort.
Все очень просто. Для настройки других клиентов надо только правильно прописать имя удаленного хоста и номера портов.
Теперь запускаем всю цепочку. Сначала ASP, потом HTTPort, и в итоге, при почти полностью закрытой ISA, получаем массу удовольствия от работы в любимом браузере и приятного общения в IRC и ICQ.
Следует заметить, что применение HTTPort не ограничивается только вышеописанным примером. Если ISA сервер настроен на «базовую» аутентификацию, то применение ASP становится излишним. А при помощи HTTPort, через единственный открытый на ISA сервере порт, можно настроиться практически на любой WEB-сервис, в том числе подключиться к игровым серверам или использовать WEBMoney. (Эти сервисы, как правило, используют специфичные порты для доступа и через 80 порт до них никак не достучаться). Кроме того, сам производитель HTTPort не гарантирует стопроцентного успеха при использовании этого продукта, однако, в большинстве случаев, особых проблем не возникает. Важно лишь правильно настроить маппинг портов. Впрочем, в последнем окне программы есть несколько ссылок, в том числе и на FAQ по использованию HTTPort.
Loading...