Как заблокировать сеть TOR ?!

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:03:23

Добрый день .
Есть сеть с выходом в ИНЕТ . Есть маршрутизатор на котором прокся . Всё работает прекрасно. Но вот есть проблемка - сеть TOR . (если кто не знаком - http://ru.wikipedia.org/wiki/Tor)
Так вот - на проксе всё прекрасно закрывается правилами . Но кроме TORa . Что то Я много в инете информации перерыл - но информации нет . Может кто подскажет ?
З.Ы. Единственное что Я нашёл - это список TOR серверов (http://proxy.org/tor_blacklist.txt) . Но это защита для сайтов от атак из сети TOR .

HELP !!!! :unknown:
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:04:42

что за маршрутизатор? (модель, конфиг, нагрузка, логи)
зачем Вам закрывать TOR?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:08:56

Ок - подробнее :
Организация на 500 машин , внутренняя локалка + несколько серверов, маршрутизатор на OS Linux Ubuntu Server, FireWallом по умолчанию всё закрыто наружу, proxy - SQUID, им организую правила для юзеров. Канал 100Mbit ,Трафик - лимитирован.
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:14:51

zingel писал(а):зачем Вам закрывать TOR?
:Yahoo!: Так можно спросить и другое :
А зачем вам аську отрубать ?
А зачем вам блокировать сайты пользователям....

ПОидее - это КОНТРОЛЬ СЕТИ . Если запрещены сайты - значит надо запретить . А вот этот TOR - как баран.... везде прёт ! :) Вот и.... хотелось бы перекрыть его .
Я знаю - есть какие то "умные" правила для iptables . Они мониторят траффик и "шейпят" канал той машины , где запускают TOR . Но нигде не нашёл инфу.... Вот и решил здесь спросить . На этом сайте много инфы полезной для себя подчерпнул . :good:
Последний раз редактировалось padonak 2008-07-08 21:16:02, всего редактировалось 1 раз.
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:15:36

купите нормальный маршрутизатор или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках через iptables, я могу только предположить, что можно каким-то образом завернуть в /dev/null, те роуты от которых приходит TOR-трафик.
Z301171463546 - можно пожертвовать мне денег


Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:20:10

zingel писал(а): или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках
Первое предложение НЕ ПРИЕМЛЕМО . :)
А вот со вторым - более реально . А вот немного чуток попадробней можно ? Хотя бы в личку ? :oops:
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:22:37

да причем тут личка, дело в том, что все существующие реализации iptables никогда не смогут понять инкапсуляцию на стороне, тем более инкапсуляцию такого уровня, и блокировать её, разьве что, отслеживать пакеты по-TTL, но я точно Вам не могу сказать как оно это сможет делать, по-этому, переходите на freebsd, аля если не можеш, что-то запретить -возглавь.

p.s. а вообще купите себе кошку и юзайте ACL

p.p.s. чем Вас так не устраивает TOR, я немогу понять, или Вас какой-то new-Кевин Митник долбит во все порты?
Последний раз редактировалось zingel 2008-07-08 21:26:00, всего редактировалось 1 раз.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение Alex Keda » 2008-07-08 21:25:50

ебанту - ф топку.
не может десктопный ОС быть сервером.
админите небось через гуя...
=====
2 зингель - молодца =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:26:21

/me - покраснел :oops:
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:29:36

TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:30:25

ну и юзайте мазду, зачем Вам тогда всё это?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение manefesto » 2008-07-08 21:31:41

padonak писал(а):TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .
так....я чо то не понял.....у тебя проблема с ТОРом твоим или с проксей ?
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение hizel » 2008-07-08 21:33:05

тю, что за наезды на кошерный iptables
dccp
--source-port,--sport [!] port[:port]

--destination-port,--dport [!] port[:port]

--dccp-types [!] mask
Match when the DCCP packet type is one of 'mask'. 'mask' is a comma-separated list of packet types. Packet types are: REQUEST
RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID.

--dccp-option [!] number
Match if DCP option set.
э?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paradox_
проходил мимо

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение paradox_ » 2008-07-08 21:33:52

забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс

будь я пользователь
я бы сказа
а нафиг МНЕ такой инет

= )))

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:34:02

SYN+ACK?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:34:30

В случае с тором, если приспичет - буду и маздаем рулить . Но пока и Ubuntu прекрасно работает на шлюзе. Если вы тут фряшники.... то ненадо катить бочки на другие дистибутивы . Убунту прекрасно работает . Я и фряху юзал . Я не приверженец какого то одно дистрибутива . Есть и Федора , и Редхат... всего по маленьку .
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:36:05

Убунту прекрасно работает
я тут промолчу.

Вобщем Вам нужно блокировать динамические адреса по TTL, как это сделать в iptables, я думаю подскажет all, могу только предположить, что будет нечто:

Код: Выделить всё

-j TTL --ttl-set <TTL TOR-клиентов>
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение hizel » 2008-07-08 21:39:14

или так

Код: Выделить всё

   tcp
       These extensions can be used if тАШ--protocol tcp' is specified. It provides the following options:

       --source-port [!] port[:port]
              Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specтАР
              ified, using the format port:port.  If the first port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed.  If
              the second port greater then the first they will be swapped.  The flag --sport is a convenient alias for this option.

       --destination-port [!] port[:port]
              Destination port or port range specification.  The flag --dport is a convenient alias for this option.

       --tcp-flags [!] mask comp
              Match when the TCP flags are as specified.  The first argument is the flags which we should examine, written as a comma-separated
              list, and the second argument is a comma-separated list of flags which must be set.  Flags are: SYN ACK FIN RST URG PSH ALL NONE.
              Hence the command
               iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
              will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset.

       [!] --syn
              Only match TCP packets with the SYN bit set and the ACK,RST and FIN bits cleared.  Such packets are used to request  TCP  connecтАР
              tion  initiation;  for  example, blocking such packets coming in an interface will prevent incoming TCP connections, but outgoing
              TCP connections will be unaffected.  It is equivalent to --tcp-flags SYN,RST,ACK,FIN SYN.  If the "!" flag precedes the  "--syn",
              the sense of the option is inverted.

       --tcp-option [!] number
              Match if TCP option set.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:40:01

paradox_ писал(а):забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс
будь я пользователь
я бы сказа
а нафиг МНЕ такой инет

= )))
Уважаемый - ВЫ не знаете профиль организации . Чем она занимается. (да Я и говорить не буду .)
Дело не в том что Я режу . Что скажут - то и режу . Моё дело маленькое. Не нужен пользователю такой ИНЕТ - и слава богу . Дома пусть по ИНЕТу шарится. Смотрит ПОРНОСАЙТЫ и СЛУЖБЫ ЗНАКОМСТВ (для примера)
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение Alex Keda » 2008-07-08 21:41:24

побольше пишите прописными буквами.
вас недостаточно хорошо понимают =)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение zingel » 2008-07-08 21:43:15

Уважаемый - ВЫ не знаете профиль организации
Ладно, это всё мелочи, блокировать можно и не только по-TTL, достаточно банить по маске торовские подсети, все сразу,это тоже может помочь....

p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение hizel » 2008-07-08 21:43:43

http://l7-filter.sourceforge.net/protocols
tor - присутствует ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение hizel » 2008-07-08 21:47:02

невижу чем сиськи(Cisco) тут погут помочь
чем бубунта вам не понравилась?
там же есть сервер-эдишен
вот тоже федорено-горе на серваках держат
и ничего не кашляют,
сейчас восновном ломают черет пых-пых странички ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
padonak
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-08 20:56:44
Откуда: Солнцево
Контактная информация:

Re: Как заблокировать сеть TOR ?!

Непрочитанное сообщение padonak » 2008-07-08 21:48:28

p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?
"в чужой монастырь со своим..." Вообщем - всё прекрасно там работает . Дело только за малым .
http://www.drivesource.ru
Counter-Strike Source: css.drivesource.ru:27015, dust2.drivesource.ru:27016