Страница 1 из 4

Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:03:23
padonak
Добрый день .
Есть сеть с выходом в ИНЕТ . Есть маршрутизатор на котором прокся . Всё работает прекрасно. Но вот есть проблемка - сеть TOR . (если кто не знаком - http://ru.wikipedia.org/wiki/Tor)
Так вот - на проксе всё прекрасно закрывается правилами . Но кроме TORa . Что то Я много в инете информации перерыл - но информации нет . Может кто подскажет ?
З.Ы. Единственное что Я нашёл - это список TOR серверов (http://proxy.org/tor_blacklist.txt) . Но это защита для сайтов от атак из сети TOR .

HELP !!!! :unknown:

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:04:42
zingel
что за маршрутизатор? (модель, конфиг, нагрузка, логи)
зачем Вам закрывать TOR?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:08:56
padonak
Ок - подробнее :
Организация на 500 машин , внутренняя локалка + несколько серверов, маршрутизатор на OS Linux Ubuntu Server, FireWallом по умолчанию всё закрыто наружу, proxy - SQUID, им организую правила для юзеров. Канал 100Mbit ,Трафик - лимитирован.

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:14:51
padonak
zingel писал(а):зачем Вам закрывать TOR?
:Yahoo!: Так можно спросить и другое :
А зачем вам аську отрубать ?
А зачем вам блокировать сайты пользователям....

ПОидее - это КОНТРОЛЬ СЕТИ . Если запрещены сайты - значит надо запретить . А вот этот TOR - как баран.... везде прёт ! :) Вот и.... хотелось бы перекрыть его .
Я знаю - есть какие то "умные" правила для iptables . Они мониторят траффик и "шейпят" канал той машины , где запускают TOR . Но нигде не нашёл инфу.... Вот и решил здесь спросить . На этом сайте много инфы полезной для себя подчерпнул . :good:

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:15:36
zingel
купите нормальный маршрутизатор или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках через iptables, я могу только предположить, что можно каким-то образом завернуть в /dev/null, те роуты от которых приходит TOR-трафик.

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:19:16
paradox_
+1
= ))))))

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:20:10
padonak
zingel писал(а): или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках
Первое предложение НЕ ПРИЕМЛЕМО . :)
А вот со вторым - более реально . А вот немного чуток попадробней можно ? Хотя бы в личку ? :oops:

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:22:37
zingel
да причем тут личка, дело в том, что все существующие реализации iptables никогда не смогут понять инкапсуляцию на стороне, тем более инкапсуляцию такого уровня, и блокировать её, разьве что, отслеживать пакеты по-TTL, но я точно Вам не могу сказать как оно это сможет делать, по-этому, переходите на freebsd, аля если не можеш, что-то запретить -возглавь.

p.s. а вообще купите себе кошку и юзайте ACL

p.p.s. чем Вас так не устраивает TOR, я немогу понять, или Вас какой-то new-Кевин Митник долбит во все порты?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:25:50
Alex Keda
ебанту - ф топку.
не может десктопный ОС быть сервером.
админите небось через гуя...
=====
2 зингель - молодца =)

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:26:21
zingel
/me - покраснел :oops:

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:29:36
padonak
TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:30:25
zingel
ну и юзайте мазду, зачем Вам тогда всё это?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:31:41
manefesto
padonak писал(а):TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .
так....я чо то не понял.....у тебя проблема с ТОРом твоим или с проксей ?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:33:05
hizel
тю, что за наезды на кошерный iptables
dccp
--source-port,--sport [!] port[:port]

--destination-port,--dport [!] port[:port]

--dccp-types [!] mask
Match when the DCCP packet type is one of 'mask'. 'mask' is a comma-separated list of packet types. Packet types are: REQUEST
RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID.

--dccp-option [!] number
Match if DCP option set.
э?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:33:52
paradox_
забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс

будь я пользователь
я бы сказа
а нафиг МНЕ такой инет

= )))

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:34:02
zingel
SYN+ACK?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:34:30
padonak
В случае с тором, если приспичет - буду и маздаем рулить . Но пока и Ubuntu прекрасно работает на шлюзе. Если вы тут фряшники.... то ненадо катить бочки на другие дистибутивы . Убунту прекрасно работает . Я и фряху юзал . Я не приверженец какого то одно дистрибутива . Есть и Федора , и Редхат... всего по маленьку .

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:36:05
zingel
Убунту прекрасно работает
я тут промолчу.

Вобщем Вам нужно блокировать динамические адреса по TTL, как это сделать в iptables, я думаю подскажет all, могу только предположить, что будет нечто:

Код: Выделить всё

-j TTL --ttl-set <TTL TOR-клиентов>

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:39:14
hizel
или так

Код: Выделить всё

   tcp
       These extensions can be used if тАШ--protocol tcp' is specified. It provides the following options:

       --source-port [!] port[:port]
              Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specтАР
              ified, using the format port:port.  If the first port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed.  If
              the second port greater then the first they will be swapped.  The flag --sport is a convenient alias for this option.

       --destination-port [!] port[:port]
              Destination port or port range specification.  The flag --dport is a convenient alias for this option.

       --tcp-flags [!] mask comp
              Match when the TCP flags are as specified.  The first argument is the flags which we should examine, written as a comma-separated
              list, and the second argument is a comma-separated list of flags which must be set.  Flags are: SYN ACK FIN RST URG PSH ALL NONE.
              Hence the command
               iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
              will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset.

       [!] --syn
              Only match TCP packets with the SYN bit set and the ACK,RST and FIN bits cleared.  Such packets are used to request  TCP  connecтАР
              tion  initiation;  for  example, blocking such packets coming in an interface will prevent incoming TCP connections, but outgoing
              TCP connections will be unaffected.  It is equivalent to --tcp-flags SYN,RST,ACK,FIN SYN.  If the "!" flag precedes the  "--syn",
              the sense of the option is inverted.

       --tcp-option [!] number
              Match if TCP option set.

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:40:01
padonak
paradox_ писал(а):забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс
будь я пользователь
я бы сказа
а нафиг МНЕ такой инет

= )))
Уважаемый - ВЫ не знаете профиль организации . Чем она занимается. (да Я и говорить не буду .)
Дело не в том что Я режу . Что скажут - то и режу . Моё дело маленькое. Не нужен пользователю такой ИНЕТ - и слава богу . Дома пусть по ИНЕТу шарится. Смотрит ПОРНОСАЙТЫ и СЛУЖБЫ ЗНАКОМСТВ (для примера)

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:41:24
Alex Keda
побольше пишите прописными буквами.
вас недостаточно хорошо понимают =)))

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:43:15
zingel
Уважаемый - ВЫ не знаете профиль организации
Ладно, это всё мелочи, блокировать можно и не только по-TTL, достаточно банить по маске торовские подсети, все сразу,это тоже может помочь....

p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:43:43
hizel
http://l7-filter.sourceforge.net/protocols
tor - присутствует ;)

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:47:02
hizel
невижу чем сиськи(Cisco) тут погут помочь
чем бубунта вам не понравилась?
там же есть сервер-эдишен
вот тоже федорено-горе на серваках держат
и ничего не кашляют,
сейчас восновном ломают черет пых-пых странички ;)

Re: Как заблокировать сеть TOR ?!

Добавлено: 2008-07-08 21:48:28
padonak
p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?
"в чужой монастырь со своим..." Вообщем - всё прекрасно там работает . Дело только за малым .