С тех пор как заботливый РКН стал ограждать нас от неугодной ему информации использовал различные средства обхода «заботы». В первую очередь Tor-браузер, но для посещения трекеров это несколько неудобно — каждый раз нужно вводить пароль, в первую очередь, во вторую запускать его и ждать пока он подключится, да и вообще лишние действия.
Ввиду того, что домашнаяя файлопомойка-торрентокачалка на FreeBSD была всегда, как только интернет перестал быть диалапным, было реализовано решение с автоматической раздачей адреса прокси-сервера по DHCP, сам Squid+Privoxy+Tor.
Tor был настроен релеем с запретом быть Exit-node. Всё работает прекрасно.
Были некоторые странности:
- jd.ru не открывается, пока unbound не начнёт делать все запросы не напрямую к корневым серверам и дальше по цепочке, а, скажем к 8.8.8.8. Думал что-то не так с настройкой, хотя пару раз садился за гугл и ничего не мой найти, что не так.
- Регулярно не работал сбербанк, ни приложение, ни сайт, и соответственно, браузерный интернет-банк. IP адрес был динамический, мало ли какой клиент что накосипорил, или сам провайдер.
- На отзовик.ру чаще всего попасть не удавалось, жаловался на неправильную активность с моего адреса.
Если проблема с jd остро не стояла вообще, то со сбербанком решалась передёргиванием сессии с другим адресом. У Ростелекома хоть и opt82, но новый адрес легко получался сменой мака на мак+1 у сетевой карты в ifconfig. Или же проблема решалась переходом на мобильный интернет.
А потом я сменил провайдера, который абонентам выдаёт адреса и белые и серые, а ввиду того, что белый нужен, и стоит статический всего 50 рублей — его и взял. И тут вопрос со сбербанком встал — он снова перестал работать. Дёргание техподдержки провайдера вылилось в новый адрес. Сбер поработал и снова умер. На банки.ру есть отзыв, который мою догадку подтвердил. Сбер без разбора блокирует все адреса, засветившиеся в Tor, даже если это промежуточная нода.
Ради смеха попробовал прямо с Tor-браузера ещё десяток банков — все работали, паранойя только у Сбера. Но опять же, мобильные операторы выручали, хоть и было какое-то неудобство.
Письмо на почту в отзовик осталось без ответа, о том, что там за активность такая с моего адреса. Так же как и письмо на адрес Emex.
Вот Emex и стал причиной перевода ноды в непубличную сторону, с мобилы сидеть выверять поставщиков автозапчастей, сравнивать цены с конкурентами да ещё когда куча аналогов есть с телефона уже вообще неудобно до крайности.
Ломать схему с прозрачным проксированием неугодных сайтов не хотелось совсем. Непубличность вылилась в сильное падение трафика через неё (смотреть на середину Июля):
Быстрее всех ожил отзовик, за jd не следил, сбер где-то через месяц, а emex почти через полтора после исчезновения адреса со все tor списков, хотя он-то и был нужнее всех.
P.S.: скрыть ноду со всех списков Tor= стать Bridge
В конфиге один бит: BridgeRelay 1
Комментарии (41)
dartraiden
15.09.2019 13:31Статья про то, как сервисы реагируют на клиента, использующего Tor или именно про релей? Откуда, кстати, Сбербанк знает адреса промежуточных узлов?
Ради смеха попробовал прямо с Tor-браузера ещё десяток банков — все работали, паранойя только у Сбера.
Exit-ноды очень многие сервисы не любят, это нормально. «Работали» это достаточно условно, открываться-то они открывались, а вот попытка залогиниться или совершить перевод в личном кабинете уже может быть остановлена антифродом, поскольку клиент внезапно залогинился с IP-адреса, принадлежащего провайдеру с другого конца света.
nevzorofff Автор
15.09.2019 17:44Статья про то, как сервисы реагируют на запросы с IP адреса, которые совпадают с IP адресами Tor-Relay(которые запросы из сети Tor не шлют).
Про Exit вопросов нет, drom.ru уже лет 5 как закрыл доступ с Тора, для меня не сюрприз такое поведение сервисов.
xdimquax
15.09.2019 17:53Лучше было сразу делать бридж. Но вообще, грамотный админ не стал бы блочить адреса релеев, кмк.
kabuto
15.09.2019 14:34Не будьте идиотом, tor — это вспомогательное средство для навигации кораблей ВМФ США, оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома. (Если только это не полноценная тор-нода, на что вам так-же понадобится довольно мощное железо и если запустится, то под вашу ответственность). Состава преступления в том, чтобы поднять тор-ноду нет.
Doctor5772
15.09.2019 17:02оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома.
Есть ли у вас пруфы? Ни разу ни в одном дистрибутиве не видел идущий в комплекте Tor (исключение: Tails)
ne_kotin
15.09.2019 20:55+2tor — это вспомогательное средство для навигации кораблей ВМФ США
Я хочу то, что вы курите, но в таблетках. Где взять?
оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома.
Держу несколько тачек на линуксе, почему оно туда не встроено? Куда обратиться с претензией на недокомплектацию?
понадобится довольно мощное железо
Угу, а на VPS-хостинге то и не знают…
tea
15.09.2019 16:42Провайдерские DPI сейчас парсят весь, проходящий через них, трафик и рапортуют в РКН. Свежий, пятничный, пример: на своем забугорном хостинге поднял mtproxy для личного пользования. Использовал только с телефона и с рабочего компа… В пятницу IP попал в блок РКН, пришлось покупать новый IP. Это был не публичный прокси, использовался только мной с двух устройств.
IgorPie
15.09.2019 18:25да, у них новая звезда смерти, и все срочно обновляют клиенты и меняют прокси на https
ne_kotin
15.09.2019 20:57+2на своем забугорном хостинге поднял mtproxy для личного пользования
hidden mode (префикс dd) или Fake-TLS mode (префикс ee) используете?
если нет — так и будете покупать новые адреса.
p0gank
16.09.2019 09:11Если не использовать динамический payload (перед началом ключа символы dd), то банят быстро по размеру пакета.
ne_kotin
15.09.2019 20:58-1Если вам нужно именно ходить через тор — держать для этого релей мордой в инет вовсе необязательно.
Берете малинку, прошиваете ее образом, в котором связочка hostapd + tor, малинка поднимает отдельную точку доступа, и заворачивает весь вифи в тор.
Подключаете малинку к роутеру, она остается за NAT-ом, и все хорошо.xdimquax
15.09.2019 21:10Чтобы ходить в том вообще не нужен релей, но если никто не будет держать их, то и тором пользоваться станет невозможно. Но все таки, да, лучше даже релей дома не держать. Не потому что "посадят", а из-за того, что в статье описано.
Кстати с I2P таких проблем нет, а i2pd прекрасно работает даже на роутерах. Tor — жирный, релей жрёт больше 100 мб ОЗУ.
ne_kotin
15.09.2019 21:31-1да в общем-то и tor нормально работает на роутерах. а вот у i2pd нет режима прозрачного прокси, что делает грустно его использование в качестве анонимизирующего хостпота.
а релеи можно держать на хостинге.
nevzorofff Автор
15.09.2019 23:23Последний апгрейд роутера этой зимой с Athlon XP + 2GB RAM на Core2Duo+6GB RAM на материнке Kontron KT965(промышленная, когда-то жутко дорогая) обошёлся дешевле малины. Пусть себе гоняет для нужды общества пакеты тора.
nevzorofff Автор
15.09.2019 22:02Настольный комп не имеет беспроводного адаптера. И сейчас всё по списку прозрачно прокситься в тор, а с малиной надо будет переключаться туда-сюда.
Проще было сделать релей бриждом, чтобы пропасть из всех списков, чем городить это всё на малине.
Self_Perfection
15.09.2019 23:49+2С блокированием сбербанком доступа с tor relays сам сталкивался. Наблюдал где-то с середины 2017. В итоге отказался от использования tor, игнорирую блокировки другими способами.
xFFFF
16.09.2019 12:34Со сбером лучше не шутить! Я как-то забыл выключить Тор, и зашел в интернет банк Сбера. Мне полностью заблокировали интернет-банк, и карточка перестала работать в интернете. Добивался разблокировки в течении двух месяцев. В поддержке по телефону отправляли в отделение, в отделении отправляли звонить в поддержку.
Anbarocrator
18.09.2019 21:45Ну так если белый IP не нужен по работе, relay у меня отлично уживается с Ростелекомом по gpon. Пока был белый, были такие же проблемы со сбером и т.п.
roller
Не знать что это за подозрительная активность в 2019 году… Парсят их! все кому не лень, вот и агрятся они на адреса TOR, digital ocean, и тд такая же проблема с drive2 и множеством российских сайтов.
А вообще конечно это странное кроилово — использовать тор (с непредсказуемой скоростью и последствиями), вместо простого хостинга за бугром баксов за пять.
nevzorofff Автор
Да у меня уж год как есть за евро у Арубы, только это же надо садиться, перенастраивать.
Да и откуда мне было знать, что присутствие IP адреса в неком списке, а не реальные действия с него — подозрительная активность? Это такая же разница как между обещать и делать. Да и об этом как-то догадаться надо. Первый звонок с неоткрывающимся jd — когда ресолв делает свой DNS вообще ни разу не понятно было.
С drive2 никаких проблем не было и нет. Открывался и открывается, через тор-браузер тоже.
Со скоростью проблем тоже не вижу, чаще всего открывается всё быстро. Про последствия о чём речь? О промежуточной ноде? Она, в конце-концов не выходная.
aim
aruba, do, amazon и прочие на особом контроле. НЕЛЬЗЯ там ставить прокси. ищите мелкие провайдеры или договаривайтесь с друзьями за бугром чтобы прокачивать через них трафик.
Bonio
Почему нельзя?
aim
«нельзя» наверное стоило бы мне взять в кавычки. но суть в том что многие компании, особенно крупные сильно ограничивают пользователей из этих сетей.
уж не говоря о том что наш любимый РКН их банит направо и налево.
Так вот «нельзя» — потому что рано или поздно вам отрубят доступ. вопрос времени.
Если ползать по аккаунтам и провайдерам выш выбор — не вопрос. но так-то лучше сразу найти что-нить нормальное, пусть и за бОльшие деньги.
конечно каждый решает сам что ему важнее — спокойствие или деньги.
ne_kotin
кто отрубит то? на каком уровне?
megazloj
Был один раз случай. Получилось так, что случайно через сервак в ДО прокачал торрент. Один фильм. Почти сразу прилетело письмо на почту с инфой что я качал, откуда, какие я права нарушил и все в таком духе.
whyme
Это у них автоматом, боты и у ДО и у правообладателей, письма приходят через несколько минут после начала раздачи популярного контента. Инфу собирают правообладатели-пиры на раздаче и сразу шлют ДО, похоже через какое то api, если ip их, а ДО уже знакомит Вас с информацией.
Можно отключить раздачу в клиенте (раздавать без ДО), не раздаешь — не нарушил, по крайней мере у меня перестали письма приходить, а так уже с десяткок набралось за пару лет, пока без последствий (аккаунт ДО у меня США, не российский).
NetBUG
У кого на контроле?
Гонять гигабиты не стоит, но для личной прокси — что не так?
aim
выше ответил Bonio
xdimquax
Долгое время у меня была впска на арубе, никаких проблем с этим не испытывал. Да и не банил РКН никогда её крупными подсетями, IIRC.
xdimquax
В контексте статьи более важно другое. На арубе довольно много было (и есть) всяких прокси и нод тора, т.е. можно попасть на подозрителельный IP.
ne_kotin
Парсинг — не криминал
roller
Конечно нет, но владельцы UGC-сайтов очень не любят, тех кто парсит и всячески стараются от них защититься. А парсеры, соответственно, меняют ip (на vps хостингах), и когда вы в следующишй раз пойдете через тор-exit или ip из DO, которые были «замечены» в парсинге — вас заблочат на конретном сайте по ip. Постепенно все «чистые» ip заканчиваются, и заводить нормальный vpn на DO хостинге нормальным пацанам становится невозможно:(