Страница 1 из 4
Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:03:23
padonak
Добрый день .
Есть сеть с выходом в ИНЕТ . Есть маршрутизатор на котором прокся . Всё работает прекрасно. Но вот есть проблемка - сеть TOR . (если кто не знаком -
http://ru.wikipedia.org/wiki/Tor)
Так вот - на проксе всё прекрасно закрывается правилами . Но кроме TORa . Что то Я много в инете информации перерыл - но информации нет . Может кто подскажет ?
З.Ы. Единственное что Я нашёл - это список TOR серверов (
http://proxy.org/tor_blacklist.txt) . Но это защита для сайтов от атак из сети TOR .
HELP !!!!
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:04:42
zingel
что за маршрутизатор? (модель, конфиг, нагрузка, логи)
зачем Вам закрывать TOR?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:08:56
padonak
Ок - подробнее :
Организация на 500 машин , внутренняя локалка + несколько серверов, маршрутизатор на OS Linux Ubuntu Server, FireWallом по умолчанию всё закрыто наружу, proxy - SQUID, им организую правила для юзеров. Канал 100Mbit ,Трафик - лимитирован.
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:14:51
padonak
zingel писал(а):зачем Вам закрывать TOR?
Так можно спросить и другое :
А зачем вам аську отрубать ?
А зачем вам блокировать сайты пользователям....
ПОидее - это КОНТРОЛЬ СЕТИ . Если запрещены сайты - значит надо запретить . А вот этот TOR - как баран.... везде прёт !
Вот и.... хотелось бы перекрыть его .
Я знаю - есть какие то "умные" правила для iptables . Они мониторят траффик и "шейпят" канал той машины , где запускают TOR . Но нигде не нашёл инфу.... Вот и решил здесь спросить . На этом сайте много инфы полезной для себя подчерпнул .
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:15:36
zingel
купите нормальный маршрутизатор или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках через iptables, я могу только предположить, что можно каким-то образом завернуть в /dev/null, те роуты от которых приходит TOR-трафик.
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:19:16
paradox_
+1
= ))))))
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:20:10
padonak
zingel писал(а): или переходите на freebsd, линух не умеет резать трафик по-метке ACK && SYN в заголовках
Первое предложение НЕ ПРИЕМЛЕМО .
А вот со вторым - более реально . А вот немного чуток попадробней можно ? Хотя бы в личку ?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:22:37
zingel
да причем тут личка, дело в том, что все существующие реализации iptables никогда не смогут понять инкапсуляцию на стороне, тем более инкапсуляцию такого уровня, и блокировать её, разьве что, отслеживать пакеты по-TTL, но я точно Вам не могу сказать как оно это сможет делать, по-этому, переходите на freebsd, аля если не можеш, что-то запретить -возглавь.
p.s. а вообще купите себе кошку и юзайте ACL
p.p.s. чем Вас так не устраивает TOR, я немогу понять, или Вас какой-то new-Кевин Митник долбит во все порты?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:25:50
Alex Keda
ебанту - ф топку.
не может десктопный ОС быть сервером.
админите небось через гуя...
=====
2 зингель - молодца
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:26:21
zingel
/me - покраснел
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:29:36
padonak
TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:30:25
zingel
ну и юзайте мазду, зачем Вам тогда всё это?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:31:41
manefesto
padonak писал(а):TOR из ВНЕ - меня не беспокоит. Меня беспокоит БЕСКОНТРОЛЬНЫЙ выход пользователей изнутри наружу. Есть кое какие нюансы в работе . Кошку юзать - Я не спец . А вот фряху замутить - могу . Поэтому и спросил .
З.Ы. А ваобщето - TOR и из под МАЗДАЯ режется успешно .
так....я чо то не понял.....у тебя проблема с ТОРом твоим или с проксей ?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:33:05
hizel
тю, что за наезды на кошерный iptables
dccp
--source-port,--sport [!] port[:port]
--destination-port,--dport [!] port[:port]
--dccp-types [!] mask
Match when the DCCP packet type is one of 'mask'. 'mask' is a comma-separated list of packet types. Packet types are: REQUEST
RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID.
--dccp-option [!] number
Match if DCP option set.
э?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:33:52
paradox_
забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс
будь я пользователь
я бы сказа
а нафиг МНЕ такой инет
= )))
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:34:02
zingel
SYN+ACK?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:34:30
padonak
В случае с тором, если приспичет - буду и маздаем рулить . Но пока и Ubuntu прекрасно работает на шлюзе. Если вы тут фряшники.... то ненадо катить бочки на другие дистибутивы . Убунту прекрасно работает . Я и фряху юзал . Я не приверженец какого то одно дистрибутива . Есть и Федора , и Редхат... всего по маленьку .
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:36:05
zingel
Убунту прекрасно работает
я тут промолчу.
Вобщем Вам нужно блокировать динамические адреса по TTL, как это сделать в iptables, я думаю подскажет all, могу только предположить, что будет нечто:
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:39:14
hizel
или так
Код: Выделить всё
tcp
These extensions can be used if тАШ--protocol tcp' is specified. It provides the following options:
--source-port [!] port[:port]
Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specтАР
ified, using the format port:port. If the first port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed. If
the second port greater then the first they will be swapped. The flag --sport is a convenient alias for this option.
--destination-port [!] port[:port]
Destination port or port range specification. The flag --dport is a convenient alias for this option.
--tcp-flags [!] mask comp
Match when the TCP flags are as specified. The first argument is the flags which we should examine, written as a comma-separated
list, and the second argument is a comma-separated list of flags which must be set. Flags are: SYN ACK FIN RST URG PSH ALL NONE.
Hence the command
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset.
[!] --syn
Only match TCP packets with the SYN bit set and the ACK,RST and FIN bits cleared. Such packets are used to request TCP connecтАР
tion initiation; for example, blocking such packets coming in an interface will prevent incoming TCP connections, but outgoing
TCP connections will be unaffected. It is equivalent to --tcp-flags SYN,RST,ACK,FIN SYN. If the "!" flag precedes the "--syn",
the sense of the option is inverted.
--tcp-option [!] number
Match if TCP option set.
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:40:01
padonak
paradox_ писал(а):забавная у вас политика
даем пользователям инет
но режем все нафиг!!!!
прям парадокс
будь я пользователь
я бы сказа
а нафиг МНЕ такой инет
= )))
Уважаемый - ВЫ не знаете профиль организации . Чем она занимается. (да Я и говорить не буду .)
Дело не в том что Я режу . Что скажут - то и режу . Моё дело маленькое. Не нужен пользователю такой ИНЕТ - и слава богу . Дома пусть по ИНЕТу шарится. Смотрит ПОРНОСАЙТЫ и СЛУЖБЫ ЗНАКОМСТВ (для примера)
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:41:24
Alex Keda
побольше пишите прописными буквами.
вас недостаточно хорошо понимают
))
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:43:15
zingel
Уважаемый - ВЫ не знаете профиль организации
Ладно, это всё мелочи, блокировать можно и не только по-TTL, достаточно банить по маске торовские подсети, все сразу,это тоже может помочь....
p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:43:43
hizel
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:47:02
hizel
невижу чем сиськи(Cisco) тут погут помочь
чем бубунта вам не понравилась?
там же есть сервер-эдишен
вот тоже федорено-горе на серваках держат
и ничего не кашляют,
сейчас восновном ломают черет пых-пых странички
Re: Как заблокировать сеть TOR ?!
Добавлено: 2008-07-08 21:48:28
padonak
p.s. Ну если всё так серьёзно, организация, зачем у Вас тогда роутер под убунтой, Вы не можете себе позволить нормальный каталист?
"в чужой монастырь со своим..." Вообщем - всё прекрасно там работает . Дело только за малым .