The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Как заблокировать вход пользователе..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Как заблокировать вход пользователе..."  +/
Сообщение от auto_tips (ok) on 16-Дек-13, 00:18 
Список точек выхода сети Tor, с которых инициируются исходящие соединения, можно загрузить на официальном сайте проекта Tor:

   https://check.torproject.org/cgi-bin/TorBulkExitList.py

или используя неофициальный архив:

   https://www.dan.me.uk/torlist/


По указанным адресам выдаются списки IP-адресов, которые можно использовать для блокирования межсетевым экраном/HTTP-сервером или привязки метки через модуль geo_ip.

Пример блокирования через ipfw:

   ipfw table 1 flush
   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8... | grep -v "^#" | while read cnt ip; do
      /sbin/ipfw table 1 add $ip 1
   done
   ipfw add deny all from "table(1)" to any via em1

Для выставления флага через модуль ngx_http_geo_module в nginx:

   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8... |
      grep -v "^#" |  sed 's/$/ tor;/' > /usr/local/etc/nginx/tor.conf

в nginx.conf:

   geo  $country  {
    include          /usr/local/etc/nginx/tor.conf
   }

далее для блокировки можно добавить проверку:
   if ($country = 'tor') {
    ...
   }

URL:
Обсуждается: http://www.opennet.ru/tips/info/2817.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от vadiml (ok) on 16-Дек-13, 00:18 
> заблокировать вход пользователей, работающих через сеть Tor

А какой в этом смысл?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Слава (??) on 16-Дек-13, 16:51 
Смысл в том, что сейчас большое количество атака и вирусов которые ломятся и исходят из tor-сети.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 17-Дек-13, 05:08 
> Смысл в том, что сейчас большое количество атака и вирусов которые ломятся
> и исходят из tor-сети.

Явно не больше чем из обычного интернета. У него фиг отберешь пальму первенства в этом вопросе. Так что ждем когда админы выключат себе интернет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

56. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от azure email(ok) on 29-Дек-13, 13:21 
> Смысл в том, что сейчас большое количество атака и вирусов которые ломятся и исходят из tor-сети.

Можете предоставить ссылочку на хоть какую-нибудь аналитику в этом вопросе? Я по прежнему убежден что большое количество атак и вирусов идут от уже зараженных машин, и им плевать на неанонимность.

Любой трафик потенциально чего-то стоит, и уж если человек заходит на ваш публичный ресурс, то на мой взгляд надо радоваться даже людям у которых есть причины сохранять анонимность (конечно, если только целью вашего сервиса не является отслеживание действий пользователей). К тому же такая мера как ограничение доступа с определенных хостов к вашему сервису не является сколько-нибудь значимым повышением уровня безопасности, преодолеть этот заслон под силу школьнику, читающему журнал кулхацкер (даже если он двоечник).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

57. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Gringo email on 29-Дек-13, 16:43 
Т.е. делать ничего не надо?! Ок, ок )
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от azure email(ok) on 29-Дек-13, 18:21 
> Т.е. делать ничего не надо?! Ок, ок )

Я не говорил, что делать ничего не надо. Я лишь говорил что не следует делать бесполезные и вредные дела.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от Gringo email on 29-Дек-13, 18:28 
>> Т.е. делать ничего не надо?! Ок, ок )
> Я не говорил, что делать ничего не надо. Я лишь говорил что
> не следует делать бесполезные и вредные дела.

Почему ты думаешь, что это бесполезное и вредное дело? Мне кажется, ненадо говорить за всех, это решение задачи и скорее всего для кого-то это является хорошим решением, а для остальных - хотите пользуйтесь, не хотите - не пользуйтесь.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от anonymous (??) on 07-Фев-14, 15:12 
Чтобы якобы доказать несостоятельность предложенного, вы предлагаете какие-то дикие крайности. Imago по Чапеку.

1) Сеть Тор - медленная, оттуда реально возможно только взлом. От ддоса это не спасёт никоим образом
2) Единственное, что может обеспечить Тор - анонимность, для которой будет достаточно найденной открытой вай-фай сети или одного взломанного хоста из ботнета.

Вам пытаются обьяснить основополагающие вещи, из-за которых подобные меры являются лишь успокоением администратора, и ничуть не повышают безопасность сервера.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

71. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от mickvav on 17-Фев-14, 16:35 
Да нет, просто когда товарищу сержанту надо отчитаться перед товарищем майором о проделанной работе - он может предъявить такую вот нехитрую хрень. :)
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

85. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 04-Апр-14, 18:21 
Через Tor Browser нормально смотрятся видео в HD, не надо тут. Всё просто леает.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

70. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 17-Фев-14, 10:14 
Я бы сказал, что есть некая защита от троллей. Самые жирные сидят с тора.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

73. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от dq0s4y71 (ok) on 28-Фев-14, 21:04 
Лучшая защита от троллей - это не кормить их.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

3. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от AS (??) on 16-Дек-13, 08:32 
чтоб не ломали
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Как заблокировать вход пользователей, работающих через сеть Tor"  +2 +/
Сообщение от count0krsk (ok) on 16-Дек-13, 11:35 
Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче будет?
Вообще можно перекрыть всем доступ, кроме родной страны. А то вдруг негры сомалийские сломают.
Нормальную защиту надо делать, чтобы случайно залетевший воробей не положил всё. Запрещая Тор Вы сильно ограничиваете потенциальную аудиторию, если это не кулинарный сайт с 5 посетителями в неделю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 16-Дек-13, 12:24 
> Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче
> будет?

Блокирование Tor является очень хорошей защитой от дурака. Tor ставится в один клик и  пакостники этип с радостью пользуются. В 90% случаях у подобных индивидов не хватит ни ума, ни желания лишний раз пошевелить задницей для использования открытых проксей и прочих анонимайзеров, а светить реальный IP они побоятся.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Sabakwaka (ok) on 16-Дек-13, 13:10 
Глупости.
Покажи че взять ценного и возьмут, оставив номер паспорта.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 16-Дек-13, 14:41 
> Покажи че взять ценного и возьмут, оставив номер паспорта.

Что характерно, номер паспорта будет взят с ближайшего лоха которому "нечего скрывать". Вместе со сканом в лучшем случае. А вот лох потом "в случае чего" будет очень долго доказывать в ментуре что не верблюд...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 16-Дек-13, 14:05 
Эксперименты показали что нынче бывает проще взять открытый сокс5 чем тор :). Особенно в случае IRC, где банхаммерами махать умеют.

Наиболее культурно в этом плане поступили Freenode. Они не только не стали блочить тор, но и hidden service поставили.

Хинт: hidden service отличается от обычного сайта тем что его довольно сложно изъять и забанить. А хацкеров надо держать на расстоянии путем патчинга дыр вовремя, а не надеждой что все хацкеры глупые. Это не работает.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

28. "Как заблокировать вход пользователей, работающих через сеть Tor"  –1 +/
Сообщение от Гость on 19-Дек-13, 17:21 
Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от dxd on 19-Дек-13, 23:14 
Если у атакующего есть 0day, то блокировка тора вряд ли поможет.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 21:55 
> Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.

При наличии 0day блочить только Tor? Это напоминает "windows XP with firewall.jpg"

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

10. "Как заблокировать вход пользователей, работающих через сеть Tor"  +2 +/
Сообщение от Аноним (??) on 16-Дек-13, 19:01 
Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Xasd (ok) on 17-Дек-13, 17:31 
> Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.

"прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.

"как тор забанить" -- это совет хостингу для web-сайта.

осталось дать ещё какой-нибудь совет самому пользователю.. типа:

"как на друга заявить в полицую, если на его компьютере вы случайно заметили пирацкий фильм Михалкова?"

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Как заблокировать вход пользователей, работающих через сеть Tor"  +2 +/
Сообщение от Аноним (??) on 18-Дек-13, 05:19 
> "прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.

Самый смак в этом совете интернет-провайдеру еще был в том, что там описывалась настройка ssl bump-а.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

49. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 22:01 
> описывалась настройка ssl bump-а.

Кулсисопы дорвались до интернета. И все бы ничего, но вот где была башня аппруверов - загадка природы.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от властеелин_волосатой email(ok) on 18-Дек-13, 08:41 
>> Какие-то вредные советы пошли: то как прикрутить роскомцензурный списки, то теперь как тор забанить.
> "прикрутить роскомцензурные списки" -- это совет интернет-провайдеру.
> "как тор забанить" -- это совет хостингу для web-сайта.
> осталось дать ещё какой-нибудь совет самому пользователю.. типа:
> "как на друга заявить в полицую, если на его компьютере вы случайно
> заметили пирацкий фильм Михалкова?"

Когда-то мне довелось работать рядышком с главным офисом одного оператора-монополиста. По доброй советской традиции еще одним соседним зданием был главный офис областного экс-КГБ. Внутренние дворы обеих контор разделяла только стена высотой метра 4, с колючкой и камерой (еще советской, не твердотельной) наверху.
Фасады зданий выходили (и до сих пор выходят) на весьма оживлённый проспект. В частности, как раз на этот проспект смотрели (и смотрят) окна автозалов ОПТС и АМТС оператора. Кабельная шахта здания тоже находилась со стороны проспекта.
С тыльной стороны обоих контор находилась территория городского СИЗО, три общих корпуса и небольшой изолятор КГБ, построенный буквально за год или два до развала совка. Забор, колючая проволока, вышки, надписи "стой, запретная зона" на заборе (и пара менее официальных). А дальше, отделенный от СИЗО только несколькими рядами деревьев и улочкой начинался жилой микрорайон. Улочка располагалась перпендикулярно забору, отделявшему экс-КГБ от "дворца связи", как его обозвали сами связисты. Аккурат напротив этой точки, только на другой стороне улицы находилась обычная трансформаторная будка, а у ее стены стоял неприметный серый металлический ящик. На ящике было написано "мудаки, к этому ящику есть проход". Самое интересное, что проход действительно был.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от Гость on 19-Дек-13, 17:25 
В чем соль истории? Шпионы, читая надпись на ящике, думали все эти заборы с колючей проволокой именно ради защиты ящика?


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 16:16 
Чувак, не лезь в ящик у трансформатора, там бо-бо и искры!
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Как заблокировать вход пользователей, работающих через сеть Tor"  +2 +/
Сообщение от Michael Shigorin email(ok) on 19-Дек-13, 23:28 
> Какие-то вредные советы пошли:

Здесь скорее реализация выглядит плохим советом:

| while read cnt ip; do /sbin/ipfw table 1 add $ip 1
может преподнести сюрприз при аккуратно подобранных данных специального вида (либо особо удачном мусоре) с той стороны.  Например, незакавыченный $ip вида "; rm -rf; echo".
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

34. "Как заблокировать вход пользователей, работающих через сеть Tor"  –1 +/
Сообщение от Xasd (ok) on 20-Дек-13, 17:28 
начнём с того что было совершенно дурацкой идеей -- писать всё это на SHELL.

взяли бы Python или Perl

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Michael Shigorin email(ok) on 21-Дек-13, 15:18 
> взяли бы Python или Perl

Зачем?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от myhand (ok) on 21-Дек-13, 21:09 
Чтобы было больше)  А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".  
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 21:58 
> Чтобы было больше)  А то вот в C еще можно с
> памятью накосячить - тоже вариант "хозяйке на заметку".

Ждем когда бидонисты перепишут айпитаблес на бидоне.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Andrey Mitrofanov on 25-Дек-13, 09:48 
>А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".

Гад. Зачем ты Шигорину это разрешил?! Теперь всё пропало! //><//Магнитофон импортный, три.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

54. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Michael Shigorin email(ok) on 25-Дек-13, 15:13 
>>А то вот в C еще можно с памятью накосячить - тоже вариант "хозяйке на заметку".
> Гад. Зачем ты Шигорину это разрешил?!

Не, я последний раз косячил с fd, так что не надо грязи. :]

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

74. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от dq0s4y71 (ok) on 28-Фев-14, 21:17 
Модно, чо.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

55. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 29-Дек-13, 05:25 
> взяли бы Python или Perl

Авторы moinmoin делом доказали что настоящий джедай дыростроения без проблем пишет дырявый код на любом ЯП. В том числе и на питоне.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

63. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от Аноним (??) on 01-Янв-14, 00:31 
> начнём с того что было совершенно дурацкой идеей -- писать всё это
> на SHELL.
> взяли бы Python или Perl

Ты, чтобы карандаш очинить, тоже мельничный жернов попросишь? Потому что на шелле это пишется на раз. Через 15 минут максимум неспешной писанины с двумя перекурами и забиванием в кронтаб задача решена. Аминь.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

12. "Как заблокировать вход пользователей, работающих через сеть Tor"  –1 +/
Сообщение от pavlinux (ok) on 16-Дек-13, 21:15 
Скриптег для iptables

IPTABLES=$(which iptables)
ADDRESS="8.8.4.4"
#
function AntiTOR() {

    LIST=$(lynx -dump https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDRESS | grep -v '^#');

    for node in $LIST
        do
          echo $IPTABLES -A INPUT -p tcp -s $node -j REJECT --reject-with tcp-reset;
    done
}


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Xasd (ok) on 17-Дек-13, 18:00 
да, норм..

только писать правила нужно не в INPUT цепочку, а в какую-нибудь кастумную цепочку..

например в INPUT_TOR_A и в INPUT_TOR_B -- поочереди.

а внутри цепочке INPUT -- лишь ссылаться на INPUT_TOR_A и INPUT_TOR_B

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 18-Дек-13, 05:20 
А чего не через ipset? Недостаточно большие таблицы в файерволе глаз не радуют?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Xasd (ok) on 18-Дек-13, 14:56 
> большие таблицы в файерволе глаз не радуют?

ды без разницы уже :).. через несколько недель выйдет в стабильный релиз -- nftables

так что обсуждение костылей вокруг iptables -- какая то не особо актуальная тема :-)

так как -- теперь уже iptables сам по себе станет костылём вокруг nftables :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 19-Дек-13, 03:08 
ipset полезен, когда адреса и правила более-менее постоянны,
этот же скрипт и правила желательно генерить и обновлять раз в час.


IPTABLES=$(which iptables)

# А вдруг мы за НАТом!
ADDRESS=$(dig +short myip.opendns.com @resolver1.opendns.com)
# Список Шындлера
LIST=$(lynx -dump https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDRESS | grep -v '^#' | sort -u)

#     [cmd]   [name]   [type]
ipset create TOR_NODES hash:ip;

for node in $LIST
        do
          echo ipset -A TOR_NODES $node;
    done

$IPTABLES -A INPUT -m set --match-set TOR_NODES src -j REJECT;
$IPTABLES -A INPUT -m set --match-set TOR_NODES dst -j REJECT;

Принимаются варианты на bpf и nf  

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 19-Дек-13, 13:22 
Зачем каждый раз добавляются правила для reject-а? Для чего весь список засовывается в массив вместо того, чтобы сразу через xargs скармливать хосты ipset-у? Зачем сортировка, если ipset все равно внутри себя все засунет в хэш-таблицу? Где очистка старых адресов, которые больше нет в списке?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 20-Дек-13, 03:36 
> Для чего весь список засовывается в массив вместо того,
> чтобы сразу через xargs скармливать хосты ipset-у?

Примеры в студию!

> Зачем сортировка, если ipset все равно внутри себя все засунет в хэш-таблицу?

Пару миллисекунд жалко?

> Где очистка старых адресов, которые больше нет в списке?

Ща за веником сбегаю.

---
... а багу не заметили  dst должно быть в OUTPUT


$IPTABLES -A INPUT -m set --match-set TOR_NODES src -j REJECT;
$IPTABLES -A OUTPUT -m set --match-set TOR_NODES dst -j REJECT;

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 20-Дек-13, 17:25 
>Ща за веником сбегаю.

не добежал чтоль?..

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 21-Дек-13, 05:39 
ipset create TOR_NODES hash:ip -exist
ipset flush TOR_NODES

( ipset flush TOR_NODES;
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A TOR_NODES )&

iptables -F NOTOR
iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT
iptables -A NOTOR -j RETURN


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 21-Дек-13, 05:40 
Пофикшенный вариант

ipset create TOR_NODES hash:ip -exist

( ipset flush TOR_NODES;
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A TOR_NODES )&

iptables -F NOTOR
iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT
iptables -A NOTOR -j RETURN

wait

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 22-Дек-13, 23:53 
> ipset create TOR_NODES hash:ip -exist
> ( ipset flush TOR_NODES;
> curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short
> myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A
> TOR_NODES )&
> iptables -F NOTOR
> iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
> iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT
> iptables -A NOTOR -j RETURN


--- a   2013-12-22 23:52:08.763948000 +0400
+++ b   2013-12-22 23:52:27.286948000 +0400
@@ -3,6 +3,7 @@
( ipset flush TOR_NODES;
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$(dig +short myip.opendns.com @resolver1.opendns.com) | grep -v '^#' | xargs -L1 ipset -A TOR_NODES )&

+iptables -N NOTOR
iptables -F NOTOR
iptables -A NOTOR -m set --match-set TOR_NODES src -j REJECT
iptables -A NOTOR -m set --match-set TOR_NODES dst -j REJECT

ADDR=$(dig +short myip.opendns.com @resolver1.opendns.com)

Без sort -u
# time (curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDR | grep -v '^#' | xargs -L1 ipset -A TOR_NODES)

real    0m7.241s
user    0m1.941s
sys     0m3.056s

---
# time (curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDR | grep -v '^#' | sort -u | xargs -L1 ipset -A TOR_NODES)

real    0m6.596s  C утилью uniq на 0.1 сек. дольше.  
user    0m1.645s
sys     0m2.695s

Пол секунды профита :)

# ipset -L | wc -l
2779

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 03:38 
Ты померял работу с сетью и работу с нетлинком, но никак не влияние сортировки на производительность.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 05:14 
>  но никак не влияние сортировки на производительность.

Пичалька



ipset create TOR_NODES hash:ip -exist

ADDR=$(dig +short myip.opendns.com @resolver1.opendns.com)
curl -s https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDR > RAW.txt;

# ipset flush TOR_NODES;
# time (cat RAW.txt | grep -v '^#' | xargs -L1 ipset -A TOR_NODES)
real    0m4.194s
user    0m1.212s
sys     0m2.325s

# ipset flush TOR_NODES;
# time (cat RAW.txt | grep -v '^#' | sort -u | xargs -L1 ipset -A TOR_NODES)
real    0m3.974s
user    0m1.157s
sys     0m2.228s


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 25-Дек-13, 04:08 
Теперь ты меряешь работу только с нетлинком, но опять не сортировку.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

60. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от pavlinux (ok) on 29-Дек-13, 18:31 
> Теперь ты меряешь работу только с нетлинком, но опять не сортировку.

Ты ваще разницу видишь?

1. cat | grep | sort | xargs ipset
2. cat | grep | xargs ipset

Тормоза в ipset при заносе всего подряд.  
Это доказывает, то, что ipset тормознутее ищет и сравнивает свои хэши,
чем текстовая сортировка с устранением дубликатов!

Если это не так, напиши в багтрекер coreutils.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

42. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 24-Дек-13, 03:44 
> +iptables -N NOTOR

Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи, создаются из /etc/sysconfig/iptables, а сам скрипт занимается только динамикой. Тем более, что, если тупо добавлять цепочку при каждом вызове, то скрипт будет гадить ошибкой в stderr при каждом запуске, кроме первого, что нехорошо.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 05:18 
>> +iptables -N NOTOR
> Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи,
> создаются из /etc/sysconfig/iptables, а сам скрипт занимается только динамикой. Тем более,
> что, если тупо добавлять цепочку при каждом вызове, то скрипт будет
> гадить ошибкой в stderr при каждом запуске, кроме первого, что нехорошо.

А посаны-то и не знали! Тема про tor и примеры одного скрипта.
Чо и куда пихать каждый разберётся сам.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

52. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 25-Дек-13, 04:09 
>>> +iptables -N NOTOR
>> Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи,
>> создаются из /etc/sysconfig/iptables, а сам скрипт занимается только динамикой. Тем более,
>> что, если тупо добавлять цепочку при каждом вызове, то скрипт будет
>> гадить ошибкой в stderr при каждом запуске, кроме первого, что нехорошо.
> А посаны-то и не знали! Тема про tor и примеры одного скрипта.
> Чо и куда пихать каждый разберётся сам.

Я тебе говорю, на что скрипт, написанный мной рассчитан и почему iptables -N там осознанно не был написан.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

61. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 29-Дек-13, 18:43 
$ cat /etc/sysconfig/iptables
cat: /etc/sysconfig/iptables: Нет такого файла или каталога
$ cat /etc/debian_version
6.0.8
$ iptables -V
iptables v1.4.8

Как жить, профэссор?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

62. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 30-Дек-13, 00:45 
apt-get install iptables-persistent

А потом смотреть в /etc/iptables/rules

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

40. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Проходил мимо on 23-Дек-13, 19:30 
У кого-то butthurt :).

Аренда ботнета не так дорога если действительно нужно что-то сделать.

А так почти "неуловимый джо" :D.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Как заблокировать вход пользователей, работающих через сеть Tor"  +1 +/
Сообщение от Аноним (??) on 24-Дек-13, 22:05 
> У кого-то butthurt :).

С учетом деятельности роскомпозора и прочих анб и призм - ныне в пору наоборот поднимать hidden service в Tor для своего сайта, чтоб сайт не отжали по простому, "на дypaка".

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

64. "Как заблокировать вход пользователей, работающих через сеть Tor"  –1 +/
Сообщение от Аноним (??) on 01-Янв-14, 00:32 
>> У кого-то butthurt :).
> С учетом деятельности роскомпозора и прочих анб и призм - ныне в
> пору наоборот поднимать hidden service в Tor для своего сайта, чтоб
> сайт не отжали по простому, "на дypaка".

Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

67. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от count0krsk (ok) on 20-Янв-14, 19:30 
>>> У кого-то butthurt :).
>> С учетом деятельности роскомпозора и прочих анб и призм - ныне в
>> пору наоборот поднимать hidden service в Tor для своего сайта, чтоб
>> сайт не отжали по простому, "на дypaка".
> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?

И вот именно поэтому пора бы кому-то уже озаботиться пиаром тор-серверов в РФ. Чтобы у каждого юзера, со Зверем ставились, как анонимайзер интернета. В роутеры линуксовые зашивались вирусней.

Когда у тебя сервак тора (или хаб/нода, как её там), то можно откреститься от любых запросов. Я вот сейчас перешел на поисковик duckduckgo, нигме и яндексам не доверяю после последних законов. А то придут дяди в погонах: с твоего ип был запрос "сменить продукт кей хп", ты что п*дла, опять за старое взялся? И мордой об стол.
А так: поток шифрованного трафика и на вход и на выход. Ещё и вай-фай без пароля поставить. Кто входил - ни бубу, что качал - не знаю ))


Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

68. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от anonymous (??) on 01-Фев-14, 22:55 
> А так: поток шифрованного трафика и на вход и на выход. Ещё
> и вай-фай без пароля поставить. Кто входил - ни бубу, что
> качал - не знаю ))

Есть подозрение, что тогда просто заметут и будет еще хуже.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

72. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от mickvav on 17-Фев-14, 17:06 
>> А так: поток шифрованного трафика и на вход и на выход. Ещё
>> и вай-фай без пароля поставить. Кто входил - ни бубу, что
>> качал - не знаю ))
> Есть подозрение, что тогда просто заметут и будет еще хуже.

Не, wifi без пароля соседи засрут торрентами за милую душу - сам не рад будешь.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

75. "Как заблокировать вход пользователей, работающих через сеть Tor"  –1 +/
Сообщение от Аноним (??) on 05-Мрт-14, 10:31 
> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?

1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

76. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Слава (??) on 05-Мрт-14, 12:18 
>> Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м?
> 1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам распихать.

WAT?!

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 14-Мрт-14, 11:02 
> WAT?!

То самое. Если вы укажете Tor что он может использовать несколько процов под крипто - думаю что он гигабит таки обмолотит. А т.к. соединение идет через распределенную сеть, гигабит опять же вполне можно пропихнуть: нагрузка размажется на 100500 узлов.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

83. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от pavlinux (ok) on 18-Мрт-14, 18:15 
>> WAT?!
> То самое. Если вы укажете Tor что он может использовать несколько процов
> под крипто - думаю что он гигабит таки обмолотит. А т.к.
> соединение идет через распределенную сеть, гигабит опять же вполне можно пропихнуть:
> нагрузка размажется на 100500 узлов.

У тя из компа 100500 проводов выходит?

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

84. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от Аноним (??) on 28-Мрт-14, 10:05 
> У тя из компа 100500 проводов выходит?

Добрые дяди волшебники^W инженеры давно придумали, как через один кабель общаться с более чем одним хостом. ;)

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

86. "Раздел полезных советов: Как заблокировать вход пользователе..."  +/
Сообщение от Аноним (??) on 04-Апр-14, 18:23 
Заблокировать Tor - плюнуть в лицо пользователю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Раздел полезных советов: Как заблокировать вход пользователе..."  +/
Сообщение от upf (ok) on 14-Май-14, 12:43 
> Пример блокирования через ipfw:
>    ipfw table 1 flush
>    curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8... |  grep -v "^#"   while read cnt ip; do
>       /sbin/ipfw table 1 add $ip 1
>    done
>    ipfw add deny all from "table(1)" to any via  em1

это называется паранойя на грани маразма ...
меня вопрос мучает - а если выполнение загрузки списка затянется минут на дцать? у вас так и будет ipfw флашнутый висеть? и закроет все или наоборот откроет ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "Как заблокировать вход пользователей, работающих через сеть Tor"  +/
Сообщение от МУфлон on 04-Июн-14, 15:09 
Для iptables можно установить модуль ipset, который при больших списках хостов создает меньше нагрузки на проц.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру
Hosting by Ihor