Witam. Ten poradnik jest adresowany do użytkowników systemów pochodzących z gałęzi Debian z zainstalowanym i skonfigurowanym pakietem sudo, jeśli posiadasz inna dystrybucje GNU/Linuxa niektóre komendy (tj aptitude) będą wyglądały u Ciebie inaczej. Chciałbym wam pokazać jak można grać na serwerach minecraft przy użyciu technologii trasowania cebulowego III generacji czyli w skrócie Tor. Jest to jedno z najpopularniejszych w Polsce i na świecie oprogramowanie tego typu. Jak na razie przełamać Tora się nie da. Da się natomiast podsłuchać ruch wyjściowy z ostatniego węzła do serwera docelowego, ponieważ dane nie są wtedy szyfrowane. Nie mniej, Tor jest bardzo prostym i dobrym sposobem na zostawianie mniej śladów w internecie. Korzystają z niego również prawdziwi przestępcy tacy jak pedofile, handlarze narkotykami i inni. Jak na razie bardzo mała część z nich jest za kratkami. Nawet tutaj w Polsce. Dość teorii, przejdźmy więc do praktyki. Skonfigurujemy iptables czyli specjalny program filtrujący pakiety, żeby wszystkie pakiety TCP przekierowywał do sieci Tor, a pakiety DNS (czyli UDP na porcie 53) do swojego własnego serwera nazw. W razie problemów z przekierowywaniem pakietów zostanie on odrzucony, żeby mieć pewność że łączymy się tylko przez Tora. Na początek zainstalujmy Tor:
sudo aptitude install tor
Teraz przejdźmy do jego konfiguracji:
sudo nano /etc/tor/torrc
Usuń znak # przed linią 'RunAsDaemon 1', następnie dodaj na końcu pliku formułkę, która blokuje podejrzane węzły:
ExcludeExitNodes {ru}, 64.22.111.168/29, 121.54.175.51/32, 111.240.0.0/12, 89.128.56.73/32, 117.18.118.136/32, 178.211.39.0/24, 24.84.118.132/32, 27D0D46ABB0DA73E36CA806FDF51F9CD184277AA, 45E77FDAED9A699944CFBEE6AE5CBFD4407D2536, 286779D08B62BC183398CCF7396F8A901291AB5A, 3CE6388A27B8CF405B449A435F6D0AD5C7F82DCF, 816CBF7FCF565F87195C6618FB2FAF8AE71B99F4, 5C83EF015106B21132BC602639FAF8D693330A7C, 09A880567B0839B4085C2EC14002DE34AAFE8548 StrictNodes 1
Teraz poszukaj czy występują w pliku takie linie:
AutomapHostsOnResolve 1 TransPort 9040 DnsPort 53
Jeśli nie, to je dopisz. Jeśli dopisałeś, to klient Tora został skonfigurowany poprawnie do przekierowywania połączeń. Teraz musimy stworzyć skrypt zapory ogniowej , więc wpisz:
sudo nano /etc/init.d/firewall
lub podaj inna ścieżkę, jeśli masz już swój skrypt firewalla. Dodaj do niego:
### set variables #destinations you don't want routed through Tor _non_tor="192.168.1.0/24 192.168.0.0/24" #the UID that Tor runs as (varies from system to system) _tor_uid="$(id -u debian-tor)" #Tor's TransPort _trans_port="9040" ### set iptables *nat iptables -t nat -A OUTPUT -m owner --uid-owner $_tor_uid -j RETURN iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 53 #allow clearnet access for hosts in $_non_tor for _clearnet in $_non_tor 127.0.0.0/9 127.128.0.0/10; do iptables -t nat -A OUTPUT -d $_clearnet -j RETURN done #redirect all other output to Tor's TransPort iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $_trans_port ### set iptables *filter iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #allow clearnet access for hosts in $_non_tor for _clearnet in $_non_tor 127.0.0.0/8; do iptables -A OUTPUT -d $_clearnet -j ACCEPT done #allow only Tor output iptables -A OUTPUT -m owner --uid-owner $_tor_uid -j ACCEPT iptables -A OUTPUT -j REJECT
(kod pochodzi z oryginalnej strony projektu TOR)
Po przepisaniu lub skopiowaniu powyższego skryptu należy stworzyć dowiązanie symboliczne do skryptów startowych typu System-V. Wpisz więc komendę:
sudo update-rc.d firewall defaults
lub podaj inna nazwę zamiast firewall, jeśli kod przepisałeś do innego pliku. Wpiszmy teraz odpowiednie serwery DNS do pliku resolv.conf.
sudo nano /etc/resolv.conf
Usuń wszystko i wpisz tam tylko
127.0.0.1
Teraz musimy zabezpieczyć przed nadpisaniem przez menadżer sieci komendą:
sudo chattr +i /etc/resolv.conf
Taki zabieg pozwala wchodzić na pseudodomeny .onion ( tak naprawdę, to klucz publiczny , jeśli nie wiesz co to odsyłam do hasła kryptografia asymetryczna.) dostępne tylko w sieci Tor oraz uniemożliwienie zastosowania ataku DNS Leak. Zrestartuj komputer, żeby skrypty startowe mogły się odpalić. Teraz niezależnie od oprogramowania, każde musi się łączyć z siecią Tor. Jeśli się nie łączy to poczekaj, sieć Tor jest wolna. Jeśli nadal nie działa, wróć na początek poradnika i przeanalizuj go kroczek po kroczku. Aby zmienić trasę pakietów, czyli po prostu zmienić IP przez które będziemy łączyć się z siecią Internet należy wpisać:
sudo systemctl restart tor.service
Jeśli zechcesz zrezygnować z Tora na stałe, wpisz:
sudo aptitude purge tor sudo update-rc.d firewall remove sudo rm /etc/init.d/firewall sudo chattr -i /etc/resolv.conf
To by było na tyle, pozdrawiam! W razie pytań piszcie
P.S. Niedługo zamierzam otworzyć publiczny serwer minecraft w sieci Tor.
@UPDATE 1: Dodano informacje, jak dodać serwer DNS Tor'a żeby połączyć się z pseudodomenami onion i ochronić się przed atakiem DNS Leak.
@UPDATE 2: Dodano odpowiednią komendę odblokowywującą blokadę pisania po pliku z serwerami nazw, żeby usunąć z niej DNSy tora ( pod koniec, w razie jakby ktoś chciał wyłączyć )
Użytkownik xgh69 edytował ten post 10 December 2015 - 15:12