| 1.1, vadiml (ok), 00:18, 16/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > заблокировать вход пользователей, работающих через сеть Tor
А какой в этом смысл?
| | |
| |
| 2.9, Слава (??), 16:51, 16/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Смысл в том, что сейчас большое количество атака и вирусов которые ломятся и исходят из tor-сети.
| | |
| |
| 3.16, Аноним (-), 05:08, 17/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Смысл в том, что сейчас большое количество атака и вирусов которые ломятся
> и исходят из tor-сети.
Явно не больше чем из обычного интернета. У него фиг отберешь пальму первенства в этом вопросе. Так что ждем когда админы выключат себе интернет.
| | |
| 3.56, azure (ok), 13:21, 29/12/2013 [^] [^^] [^^^] [ответить] | +1 +/– |  Можете предоставить ссылочку на хоть какую-нибудь аналитику в этом вопросе Я по... большой текст свёрнут, показать | | |
| |
| |
| 5.58, azure (ok), 18:21, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Т.е. делать ничего не надо?! Ок, ок )
Я не говорил, что делать ничего не надо. Я лишь говорил что не следует делать бесполезные и вредные дела.
| | |
| |
| 6.59, Gringo (?), 18:28, 29/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Т.е. делать ничего не надо?! Ок, ок )
> Я не говорил, что делать ничего не надо. Я лишь говорил что
> не следует делать бесполезные и вредные дела.
Почему ты думаешь, что это бесполезное и вредное дело? Мне кажется, ненадо говорить за всех, это решение задачи и скорее всего для кого-то это является хорошим решением, а для остальных - хотите пользуйтесь, не хотите - не пользуйтесь.
| | |
|
| 5.69, anonymous (??), 15:12, 07/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Чтобы якобы доказать несостоятельность предложенного, вы предлагаете какие-то дикие крайности. Imago по Чапеку.
1) Сеть Тор - медленная, оттуда реально возможно только взлом. От ддоса это не спасёт никоим образом
2) Единственное, что может обеспечить Тор - анонимность, для которой будет достаточно найденной открытой вай-фай сети или одного взломанного хоста из ботнета.
Вам пытаются обьяснить основополагающие вещи, из-за которых подобные меры являются лишь успокоением администратора, и ничуть не повышают безопасность сервера.
| | |
| |
| 6.71, mickvav (?), 16:35, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Да нет, просто когда товарищу сержанту надо отчитаться перед товарищем майором о проделанной работе - он может предъявить такую вот нехитрую хрень. :)
| | |
| 6.85, Аноним (-), 18:21, 04/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Через Tor Browser нормально смотрятся видео в HD, не надо тут. Всё просто леает.
| | |
|
|
|
| 3.70, Аноним (-), 10:14, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Я бы сказал, что есть некая защита от троллей. Самые жирные сидят с тора.
| | |
|
|
| 1.4, count0krsk (ok), 11:35, 16/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче будет?
Вообще можно перекрыть всем доступ, кроме родной страны. А то вдруг негры сомалийские сломают.
Нормальную защиту надо делать, чтобы случайно залетевший воробей не положил всё. Запрещая Тор Вы сильно ограничиваете потенциальную аудиторию, если это не кулинарный сайт с 5 посетителями в неделю.
| | |
| |
| 2.5, Аноним (-), 12:24, 16/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче
> будет?
Блокирование Tor является очень хорошей защитой от дурака. Tor ставится в один клик и пакостники этип с радостью пользуются. В 90% случаях у подобных индивидов не хватит ни ума, ни желания лишний раз пошевелить задницей для использования открытых проксей и прочих анонимайзеров, а светить реальный IP они побоятся.
| | |
| |
| |
| 4.8, Аноним (-), 14:41, 16/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Покажи че взять ценного и возьмут, оставив номер паспорта.
Что характерно, номер паспорта будет взят с ближайшего лоха которому "нечего скрывать". Вместе со сканом в лучшем случае. А вот лох потом "в случае чего" будет очень долго доказывать в ментуре что не верблюд...
| | |
|
| 3.7, Аноним (-), 14:05, 16/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Эксперименты показали что нынче бывает проще взять открытый сокс5 чем тор :). Особенно в случае IRC, где банхаммерами махать умеют.
Наиболее культурно в этом плане поступили Freenode. Они не только не стали блочить тор, но и hidden service поставили.
Хинт: hidden service отличается от обычного сайта тем что его довольно сложно изъять и забанить. А хацкеров надо держать на расстоянии путем патчинга дыр вовремя, а не надеждой что все хацкеры глупые. Это не работает.
| | |
| |
| 4.28, Гость (?), 17:21, 19/12/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.
| | |
| |
| 5.30, dxd (?), 23:14, 19/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если у атакующего есть 0day, то блокировка тора вряд ли поможет.
| | |
| 5.47, Аноним (-), 21:55, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.
При наличии 0day блочить только Tor? Это напоминает "windows XP with firewall.jpg"
| | |
|
|
|
|
| 1.10, Аноним (-), 19:01, 16/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.
| | |
| |
| 2.17, Xasd (ok), 17:31, 17/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.
"прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.
"как тор забанить" -- это совет хостингу для web-сайта.
осталось дать ещё какой-нибудь совет самому пользователю.. типа:
"как на друга заявить в полицую, если на его компьютере вы случайно заметили пирацкий фильм Михалкова?"
| | |
| |
| 3.19, Аноним (-), 05:19, 18/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> "прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.
Самый смак в этом совете интернет-провайдеру еще был в том, что там описывалась настройка ssl bump-а.
| | |
| |
| 4.49, Аноним (-), 22:01, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> описывалась настройка ssl bump-а.
Кулсисопы дорвались до интернета. И все бы ничего, но вот где была башня аппруверов - загадка природы.
| | |
|
| |
| 4.29, Гость (?), 17:25, 19/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
В чем соль истории? Шпионы, читая надпись на ящике, думали все эти заборы с колючей проволокой именно ради защиты ящика?
| | |
|
|
| 2.31, Michael Shigorin (ok), 23:28, 19/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Какие-то вредные советы пошли:
Здесь скорее реализация выглядит плохим советом:
| while read cnt ip; do /sbin/ipfw table 1 add $ip 1
может преподнести сюрприз при аккуратно подобранных данных специального вида (либо особо удачном мусоре) с той стороны. Например, незакавыченный $ip вида "; rm -rf; echo".
| | |
| |
| 3.34, Xasd (ok), 17:28, 20/12/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
начнём с того что было совершенно дурацкой идеей -- писать всё это на SHELL.
взяли бы Python или Perl
| | |
| |
| |
| 5.38, myhand (ok), 21:09, 21/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Чтобы было больше) А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".
| | |
| |
| 6.48, Аноним (-), 21:58, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Чтобы было больше) А то вот в C еще можно с
> памятью накосячить - тоже вариант "хозяйке на заметку".
Ждем когда бидонисты перепишут айпитаблес на бидоне.
| | |
| 6.53, Andrey Mitrofanov (?), 09:48, 25/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".
Гад. Зачем ты Шигорину это разрешил?! Теперь всё пропало! //><//Магнитофон импортный, три.
| | |
| |
| 7.54, Michael Shigorin (ok), 15:13, 25/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".
> Гад. Зачем ты Шигорину это разрешил?!
Не, я последний раз косячил с fd, так что не надо грязи. :]
| | |
|
|
|
| 4.55, Аноним (-), 05:25, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> взяли бы Python или Perl
Авторы moinmoin делом доказали что настоящий джедай дыростроения без проблем пишет дырявый код на любом ЯП. В том числе и на питоне.
| | |
| 4.63, Аноним (-), 00:31, 01/01/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> начнём с того что было совершенно дурацкой идеей -- писать всё это
> на SHELL.
> взяли бы Python или Perl
Ты, чтобы карандаш очинить, тоже мельничный жернов попросишь? Потому что на шелле это пишется на раз. Через 15 минут максимум неспешной писанины с двумя перекурами и забиванием в кронтаб задача решена. Аминь.
| | |
|
|
|
| |
| 2.18, Xasd (ok), 18:00, 17/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
да, норм..
только писать правила нужно не в INPUT цепочку, а в какую-нибудь кастумную цепочку..
например в INPUT_TOR_A и в INPUT_TOR_B -- поочереди.
а внутри цепочке INPUT -- лишь ссылаться на INPUT_TOR_A и INPUT_TOR_B
| | |
| 2.20, Аноним (-), 05:20, 18/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
А чего не через ipset? Недостаточно большие таблицы в файерволе глаз не радуют?
| | |
| |
| 3.24, Xasd (ok), 14:56, 18/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> большие таблицы в файерволе глаз не радуют?
ды без разницы уже :).. через несколько недель выйдет в стабильный релиз -- nftables
так что обсуждение костылей вокруг iptables -- какая то не особо актуальная тема :-)
так как -- теперь уже iptables сам по себе станет костылём вокруг nftables :)
| | |
| 3.25, pavlinux (ok), 03:08, 19/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 ipset полезен, когда адреса и правила более-менее постоянны,
этот же скрипт и правила желательно генерить и обновлять раз в час.
IPTABLES=$(which iptables)
# А вдруг мы за НАТом!
ADDRESS=$(dig +short myip.opendns.com @resolver1.opendns.com)
# Список Шындлера
LIST=$(lynx -dump https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDRESS | grep -v '^#' | sort -u)
# [cmd] [name] [type]
ipset create TOR_NODES hash:ip;
for node in $LIST
do
echo ipset -A TOR_NODES $node;
done
$IPTABLES -A INPUT -m set --match-set TOR_NODES src -j REJECT;
$IPTABLES -A INPUT -m set --match-set TOR_NODES dst -j REJECT;
Принимаются варианты на bpf и nf
| | |
| |
| 4.27, Аноним (-), 13:22, 19/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Зачем каждый раз добавляются правила для reject-а? Для чего весь список засовывается в массив вместо того, чтобы сразу через xargs скармливать хосты ipset-у? Зачем сортировка, если ipset все равно внутри себя все засунет в хэш-таблицу? Где очистка старых адресов, которые больше нет в списке?
| | |
| |
| 5.32, pavlinux (ok), 03:36, 20/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Для чего весь список засовывается в массив вместо того,
> чтобы сразу через xargs скармливать хосты ipset-у?
Примеры в студию!
> Зачем сортировка, если ipset все равно внутри себя все засунет в хэш-таблицу?
Пару миллисекунд жалко?
> Где очистка старых адресов, которые больше нет в списке?
Ща за веником сбегаю.
---
... а багу не заметили dst должно быть в OUTPUT
$IPTABLES -A INPUT -m set --match-set TOR_NODES src -j REJECT;
$IPTABLES -A OUTPUT -m set --match-set TOR_NODES dst -j REJECT;
| | |
| |
| 6.35, Аноним (-), 05:39, 21/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
ipset create TOR_NODES hash:ip -exist
ipset flush TOR_NODES
( ipset flush TOR_NODES;
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A TOR_NODES )&
iptables -F NOTOR
iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT
iptables -A NOTOR -j RETURN
| | |
| |
| 7.36, Аноним (-), 05:40, 21/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Пофикшенный вариант
ipset create TOR_NODES hash:ip -exist
( ipset flush TOR_NODES;
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A TOR_NODES )&
iptables -F NOTOR
iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT
iptables -A NOTOR -j RETURN
wait
| | |
| |
| |
| 9.41, Аноним (-), 03:38, 24/12/2013 [^] [^^] [^^^] [ответить] | +/– | Ты померял работу с сетью и работу с нетлинком, но никак не влияние сортировки н... текст свёрнут, показать | | |
| 9.42, Аноним (-), 03:44, 24/12/2013 [^] [^^] [^^^] [ответить] | +/– | Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи, соз... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.40, Проходил мимо (?), 19:30, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
У кого-то butthurt :).
Аренда ботнета не так дорога если действительно нужно что-то сделать.
А так почти "неуловимый джо" :D.
| | |
| |
| 2.50, Аноним (-), 22:05, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> У кого-то butthurt :).
С учетом деятельности роскомпозора и прочих анб и призм - ныне в пору наоборот поднимать hidden service в Tor для своего сайта, чтоб сайт не отжали по простому, "на дypaка".
| | |
| |
| 3.64, Аноним (-), 00:32, 01/01/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> У кого-то butthurt :).
> С учетом деятельности роскомпозора и прочих анб и призм - ныне в
> пору наоборот поднимать hidden service в Tor для своего сайта, чтоб
> сайт не отжали по простому, "на дypaка".
Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
| | |
| |
| 4.67, count0krsk (ok), 19:30, 20/01/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> У кого-то butthurt :).
>> С учетом деятельности роскомпозора и прочих анб и призм - ныне в
>> пору наоборот поднимать hidden service в Tor для своего сайта, чтоб
>> сайт не отжали по простому, "на дypaка".
> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
И вот именно поэтому пора бы кому-то уже озаботиться пиаром тор-серверов в РФ. Чтобы у каждого юзера, со Зверем ставились, как анонимайзер интернета. В роутеры линуксовые зашивались вирусней.
Когда у тебя сервак тора (или хаб/нода, как её там), то можно откреститься от любых запросов. Я вот сейчас перешел на поисковик duckduckgo, нигме и яндексам не доверяю после последних законов. А то придут дяди в погонах: с твоего ип был запрос "сменить продукт кей хп", ты что п*дла, опять за старое взялся? И мордой об стол.
А так: поток шифрованного трафика и на вход и на выход. Ещё и вай-фай без пароля поставить. Кто входил - ни бубу, что качал - не знаю ))
| | |
| |
| 5.68, anonymous (??), 22:55, 01/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А так: поток шифрованного трафика и на вход и на выход. Ещё
> и вай-фай без пароля поставить. Кто входил - ни бубу, что
> качал - не знаю ))
Есть подозрение, что тогда просто заметут и будет еще хуже.
| | |
| |
| 6.72, mickvav (?), 17:06, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> А так: поток шифрованного трафика и на вход и на выход. Ещё
>> и вай-фай без пароля поставить. Кто входил - ни бубу, что
>> качал - не знаю ))
> Есть подозрение, что тогда просто заметут и будет еще хуже.
Не, wifi без пароля соседи засрут торрентами за милую душу - сам не рад будешь.
| | |
|
|
| 4.75, Аноним (-), 10:31, 05/03/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.
| | |
| |
| 5.76, Слава (??), 12:18, 05/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
> 1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.
WAT?!
| | |
| |
| 6.82, Аноним (-), 11:02, 14/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> WAT?!
То самое. Если вы укажете Tor что он может использовать несколько процов под крипто - думаю что он гигабит таки обмолотит. А т.к. соединение идет через распределенную сеть, гигабит опять же вполне можно пропихнуть: нагрузка размажется на 100500 узлов.
| | |
| |
| 7.83, pavlinux (ok), 18:15, 18/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> WAT?!
> То самое. Если вы укажете Tor что он может использовать несколько процов
> под крипто - думаю что он гигабит таки обмолотит. А т.к.
> соединение идет через распределенную сеть, гигабит опять же вполне можно пропихнуть:
> нагрузка размажется на 100500 узлов.
У тя из компа 100500 проводов выходит?
| | |
| |
| 8.84, Аноним (-), 10:05, 28/03/2014 [^] [^^] [^^^] [ответить] | +/– | Добрые дяди волшебники W инженеры давно придумали, как через один кабель общатьс... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.87, upf (ok), 12:43, 14/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Пример блокирования через ipfw:
> ipfw table 1 flush
> curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | grep -v "^#" while read cnt ip; do
> /sbin/ipfw table 1 add $ip 1
> done
> ipfw add deny all from "table(1)" to any via em1
это называется паранойя на грани маразма ...
меня вопрос мучает - а если выполнение загрузки списка затянется минут на дцать? у вас так и будет ipfw флашнутый висеть? и закроет все или наоборот откроет ?
| | |
| 1.88, МУфлон (?), 15:09, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для iptables можно установить модуль ipset, который при больших списках хостов создает меньше нагрузки на проц.
| | |
|