The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Как заблокировать вход пользователей, работающих через сеть Tor
Список точек выхода сети Tor, с которых инициируются исходящие соединения,
можно загрузить на официальном сайте проекта Tor:

   https://check.torproject.org/cgi-bin/TorBulkExitList.py

или используя неофициальные архивы:

   http://torstatus.info/ip_list_all.php/Tor_ip_list_ALL.csv
   https://www.dan.me.uk/torlist/


По указанным адресам выдаются списки IP-адресов, которые можно использовать для
блокирования межсетевым экраном/HTTP-сервером или привязки метки через модуль geo_ip.

Пример блокирования через ipfw:

   ipfw table 1 flush 
   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | grep -v "^#" | while read cnt ip; do
      /sbin/ipfw table 1 add $ip 1
   done
   ipfw add deny all from "table(1)" to any via em1

Для выставления флага через модуль ngx_http_geo_module в nginx:

   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | 
      grep -v "^#" |  sed 's/$/ tor;/' > /usr/local/etc/nginx/tor.conf 

в nginx.conf:

   geo  $country  {
	include          /usr/local/etc/nginx/tor.conf
   }

далее для блокировки можно добавить проверку:
   if ($country = 'tor') {
	...
   }
 
16.12.2013
Ключи: tor, ipfw, block, nginx / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, vadiml (ok), 00:18, 16/12/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    > заблокировать вход пользователей, работающих через сеть Tor

    А какой в этом смысл?

     
     
  • 2.9, Слава (??), 16:51, 16/12/2013 [^] [ответить]    [к модератору]
  • +/
    Смысл в том, что сейчас большое количество атака и вирусов которые ломятся и исходят из tor-сети.
     
     
  • 3.16, Аноним (-), 05:08, 17/12/2013 [^] [ответить]     [к модератору]
  • +/
    Явно не больше чем из обычного интернета У него фиг отберешь пальму первенства ... весь текст скрыт [показать]
     
  • 3.56, azure (ok), 13:21, 29/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Можете предоставить ссылочку на хоть какую-нибудь аналитику в этом вопросе Я по... весь текст скрыт [показать]
     
     
  • 4.57, Gringo (?), 16:43, 29/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Т.е. делать ничего не надо?! Ок, ок )
     
     
  • 5.58, azure (ok), 18:21, 29/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > Т.е. делать ничего не надо?! Ок, ок )

    Я не говорил, что делать ничего не надо. Я лишь говорил что не следует делать бесполезные и вредные дела.

     
     
  • 6.59, Gringo (?), 18:28, 29/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Почему ты думаешь, что это бесполезное и вредное дело Мне кажется, ненадо говор... весь текст скрыт [показать]
     
  • 5.69, anonymous (??), 15:12, 07/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Чтобы якобы доказать несостоятельность предложенного, вы предлагаете какие-то ди... весь текст скрыт [показать]
     
     
  • 6.71, mickvav (?), 16:35, 17/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Да нет, просто когда товарищу сержанту надо отчитаться перед товарищем майором о проделанной работе - он может предъявить такую вот нехитрую хрень. :)
     
  • 6.85, Аноним (-), 18:21, 04/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Через Tor Browser нормально смотрятся видео в HD, не надо тут. Всё просто леает.
     
  • 3.70, Аноним (-), 10:14, 17/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Я бы сказал, что есть некая защита от троллей. Самые жирные сидят с тора.
     
     
  • 4.73, dq0s4y71 (ok), 21:04, 28/02/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Лучшая защита от троллей - это не кормить их.
     
  • 1.3, AS (??), 08:32, 16/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    чтоб не ломали
     
  • 1.4, count0krsk (ok), 11:35, 16/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче будет?
    Вообще можно перекрыть всем доступ, кроме родной страны. А то вдруг негры сомалийские сломают.
    Нормальную защиту надо делать, чтобы случайно залетевший воробей не положил всё. Запрещая Тор Вы сильно ограничиваете потенциальную аудиторию, если это не кулинарный сайт с 5 посетителями в неделю.
     
     
  • 2.5, Аноним (-), 12:24, 16/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Блокирование Tor является очень хорошей защитой от дурака Tor ставится в один к... весь текст скрыт [показать]
     
     
  • 3.6, Sabakwaka (ok), 13:10, 16/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Глупости.
    Покажи че взять ценного и возьмут, оставив номер паспорта.
     
     
  • 4.8, Аноним (-), 14:41, 16/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Что характерно, номер паспорта будет взят с ближайшего лоха которому нечего скр... весь текст скрыт [показать]
     
  • 3.7, Аноним (-), 14:05, 16/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Эксперименты показали что нынче бывает проще взять открытый сокс5 чем тор Ос... весь текст скрыт [показать]
     
     
  • 4.28, Гость (?), 17:21, 19/12/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.
     
     
  • 5.30, dxd (?), 23:14, 19/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Если у атакующего есть 0day, то блокировка тора вряд ли поможет.
     
  • 5.47, Аноним (-), 21:55, 24/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.

    При наличии 0day блочить только Tor? Это напоминает "windows XP with firewall.jpg"

     
  • 1.10, Аноним (-), 19:01, 16/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.
     
     
  • 2.17, Xasd (ok), 17:31, 17/12/2013 [^] [ответить]     [к модератору]  
  • +/
    прикрутить роскомцензурные списки -- это совет интернет-провайдеру как тор з... весь текст скрыт [показать]
     
     
  • 3.19, Аноним (-), 05:19, 18/12/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > "прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.

    Самый смак в этом совете интернет-провайдеру еще был в том, что там описывалась настройка ssl bump-а.

     
     
  • 4.49, Аноним (-), 22:01, 24/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > описывалась настройка ssl bump-а.

    Кулсисопы дорвались до интернета. И все бы ничего, но вот где была башня аппруверов - загадка природы.

     
  • 3.22, властеелин_волосатой (ok), 08:41, 18/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Когда-то мне довелось работать рядышком с главным офисом одного оператора-монопо... весь текст скрыт [показать]
     
     
  • 4.29, Гость (?), 17:25, 19/12/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    В чем соль истории? Шпионы, читая надпись на ящике, думали все эти заборы с колючей проволокой именно ради защиты ящика?


     
  • 4.45, Аноним (-), 16:16, 24/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Чувак, не лезь в ящик у трансформатора, там бо-бо и искры!
     
  • 2.31, Michael Shigorin (ok), 23:28, 19/12/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Здесь скорее реализация выглядит плохим советом code 124 while read cnt ip ... весь текст скрыт [показать]
     
     
  • 3.34, Xasd (ok), 17:28, 20/12/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    начнём с того что было совершенно дурацкой идеей -- писать всё это на SHELL.

    взяли бы Python или Perl

     
     
  • 4.37, Michael Shigorin (ok), 15:18, 21/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > взяли бы Python или Perl

    Зачем?

     
     
  • 5.38, myhand (ok), 21:09, 21/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Чтобы было больше)  А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".  
     
     
  • 6.48, Аноним (-), 21:58, 24/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > Чтобы было больше)  А то вот в C еще можно с
    > памятью накосячить - тоже вариант "хозяйке на заметку".

    Ждем когда бидонисты перепишут айпитаблес на бидоне.

     
  • 6.53, Andrey Mitrofanov (?), 09:48, 25/12/2013 [^] [ответить]    [к модератору]  
  • +/
    >А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".

    Гад. Зачем ты Шигорину это разрешил?! Теперь всё пропало! //><//Магнитофон импортный, три.

     
     
  • 7.54, Michael Shigorin (ok), 15:13, 25/12/2013 [^] [ответить]    [к модератору]  
  • +/
    >>А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".
    > Гад. Зачем ты Шигорину это разрешил?!

    Не, я последний раз косячил с fd, так что не надо грязи. :]

     
  • 5.74, dq0s4y71 (ok), 21:17, 28/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Модно, чо.
     
  • 4.55, Аноним (-), 05:25, 29/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > взяли бы Python или Perl

    Авторы moinmoin делом доказали что настоящий джедай дыростроения без проблем пишет дырявый код на любом ЯП. В том числе и на питоне.

     
  • 4.63, Аноним (-), 00:31, 01/01/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты, чтобы карандаш очинить, тоже мельничный жернов попросишь Потому что на шелл... весь текст скрыт [показать]
     
  • 1.12, pavlinux (ok), 21:15, 16/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Скриптег для iptables
    [code]
    IPTABLES=$(which iptables)
    ADDRESS="8.8.4.4"
    #
    function AntiTOR() {

        LIST=$(lynx -dump https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDRESS | grep -v '^#');

        for node in $LIST
            do
              echo $IPTABLES -A INPUT -p tcp -s $node -j REJECT --reject-with tcp-reset;
        done
    }
    [/code]

     
     
  • 2.18, Xasd (ok), 18:00, 17/12/2013 [^] [ответить]     [к модератору]  
  • +/
    да, норм только писать правила нужно не в INPUT цепочку, а в какую-нибудь каст... весь текст скрыт [показать]
     
  • 2.20, Аноним (-), 05:20, 18/12/2013 [^] [ответить]    [к модератору]  
  • +/
    А чего не через ipset? Недостаточно большие таблицы в файерволе глаз не радуют?
     
     
  • 3.24, Xasd (ok), 14:56, 18/12/2013 [^] [ответить]     [к модератору]  
  • +/
    ды без разницы уже через несколько недель выйдет в стабильный релиз -- nfta... весь текст скрыт [показать]
     
  • 3.25, pavlinux (ok), 03:08, 19/12/2013 [^] [ответить]     [к модератору]  
  • +/
    ipset полезен, когда адреса и правила более-менее постоянны, этот же скрипт и п... весь текст скрыт [показать]
     
     
  • 4.27, Аноним (-), 13:22, 19/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Зачем каждый раз добавляются правила для reject-а Для чего весь список засовыва... весь текст скрыт [показать]
     
     
  • 5.32, pavlinux (ok), 03:36, 20/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Примеры в студию Пару миллисекунд жалко Ща за веником сбегаю --- а багу... весь текст скрыт [показать]
     
     
  • 6.33, Аноним (-), 17:25, 20/12/2013 [^] [ответить]    [к модератору]  
  • +/
    >Ща за веником сбегаю.

    не добежал чтоль?..

     
  • 6.35, Аноним (-), 05:39, 21/12/2013 [^] [ответить]     [к модератору]  
  • +/
    ipset create TOR_NODES hash ip -exist ipset flush TOR_NODES ipset flush TOR_NO... весь текст скрыт [показать]
     
     
  • 7.36, Аноним (-), 05:40, 21/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Пофикшенный вариант ipset create TOR_NODES hash ip -exist ipset flush TOR_NODE... весь текст скрыт [показать]
     
     
  • 8.39, pavlinux (ok), 23:53, 22/12/2013 [^] [ответить]     [к модератору]  
  • +/
    code --- a 2013-12-22 23 52 08 763948000 0400 b 2013-12-22 23 52 27 2... весь текст скрыт [показать]
     
     
  • 9.41, Аноним (-), 03:38, 24/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Ты померял работу с сетью и работу с нетлинком, но никак не влияние сортировки на производительность.
     
     
  • 10.43, pavlinux (ok), 05:14, 24/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Пичалька code ipset create TOR_NODES hash ip -exist ADDR dig short myip ope... весь текст скрыт [показать]
     
     
  • 11.51, Аноним (-), 04:08, 25/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Теперь ты меряешь работу только с нетлинком, но опять не сортировку.
     
     
  • 12.60, pavlinux (ok), 18:31, 29/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты ваще разницу видишь 1 cat 124 grep 124 sort 124 xargs ipset 2 ca... весь текст скрыт [показать]
     
  • 9.42, Аноним (-), 03:44, 24/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи, соз... весь текст скрыт [показать]
     
     
  • 10.44, pavlinux (ok), 05:18, 24/12/2013 [^] [ответить]     [к модератору]  
  • +/
    А посаны-то и не знали Тема про tor и примеры одного скрипта Чо и куда пихать... весь текст скрыт [показать]
     
     
  • 11.52, Аноним (-), 04:09, 25/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Я тебе говорю, на что скрипт, написанный мной рассчитан и почему iptables -N там... весь текст скрыт [показать]
     
     
  • 12.61, pavlinux (ok), 18:43, 29/12/2013 [^] [ответить]    [к модератору]  
  • +/
    $ cat /etc/sysconfig/iptables
    cat: /etc/sysconfig/iptables: Нет такого файла или каталога
    $ cat /etc/debian_version
    6.0.8
    $ iptables -V
    iptables v1.4.8

    Как жить, профэссор?

     
     
  • 13.62, Аноним (-), 00:45, 30/12/2013 [^] [ответить]    [к модератору]  
  • +/
    apt-get install iptables-persistent

    А потом смотреть в /etc/iptables/rules

     
     ....нить скрыта, показать (19)

  • 1.40, Проходил мимо (?), 19:30, 23/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У кого-то butthurt :).

    Аренда ботнета не так дорога если действительно нужно что-то сделать.

    А так почти "неуловимый джо" :D.

     
     
  • 2.50, Аноним (-), 22:05, 24/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    С учетом деятельности роскомпозора и прочих анб и призм - ныне в пору наоборот п... весь текст скрыт [показать]
     
     
  • 3.64, Аноним (-), 00:32, 01/01/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м ... весь текст скрыт [показать]
     
     
  • 4.67, count0krsk (ok), 19:30, 20/01/2014 [^] [ответить]     [к модератору]  
  • +/
    И вот именно поэтому пора бы кому-то уже озаботиться пиаром тор-серверов в РФ Ч... весь текст скрыт [показать]
     
     
  • 5.68, anonymous (??), 22:55, 01/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Есть подозрение, что тогда просто заметут и будет еще хуже ... весь текст скрыт [показать]
     
     
  • 6.72, mickvav (?), 17:06, 17/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Не, wifi без пароля соседи засрут торрентами за милую душу - сам не рад будешь ... весь текст скрыт [показать]
     
  • 4.75, Аноним (-), 10:31, 05/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?

    1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.

     
     
  • 5.76, Слава (??), 12:18, 05/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
    > 1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.

    WAT?!

     
     
  • 6.82, Аноним (-), 11:02, 14/03/2014 [^] [ответить]     [к модератору]  
  • +/
    То самое Если вы укажете Tor что он может использовать несколько процов под кри... весь текст скрыт [показать]
     
     
  • 7.83, pavlinux (ok), 18:15, 18/03/2014 [^] [ответить]     [к модератору]  
  • +/
    У тя из компа 100500 проводов выходит ... весь текст скрыт [показать]
     
     
  • 8.84, Аноним (-), 10:05, 28/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > У тя из компа 100500 проводов выходит?

    Добрые дяди волшебники^W инженеры давно придумали, как через один кабель общаться с более чем одним хостом. ;)

     
     ....нить скрыта, показать (10)

  • 1.86, Аноним (-), 18:23, 04/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Заблокировать Tor - плюнуть в лицо пользователю.
     
  • 1.87, upf (ok), 12:43, 14/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Пример блокирования через ipfw:
    >    ipfw table 1 flush
    >    curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 |  grep -v "^#"   while read cnt ip; do
    >       /sbin/ipfw table 1 add $ip 1
    >    done
    >    ipfw add deny all from "table(1)" to any via  em1

    это называется паранойя на грани маразма ...
    меня вопрос мучает - а если выполнение загрузки списка затянется минут на дцать? у вас так и будет ipfw флашнутый висеть? и закроет все или наоборот откроет ?

     
  • 1.88, МУфлон (?), 15:09, 04/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для iptables можно установить модуль ipset, который при больших списках хостов создает меньше нагрузки на проц.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor