- Регистрация
- 20.01.2011
- Сообщения
- 7,665
- Розыгрыши
- 0
- Реакции
- 135
В проложении темы: Для просмотра ссылки Войди или Зарегистрируйся
Каркас конфигурации версии 2, для организации собственного анонимного сокс через два хоста с использованием tor, stunnel, openssl и iptables без учета силы алгоритмов шифрования Так как необходимые настройки в части шифрования вы вполне можете сделать самостоятельно:
В новой статье переработаны некоторые нюансы и актуализированы те моменты, которые устарели в прошлой статье по отношению к новым версиям ПО.Даны в основном настройки файлов конфигураций определенных служб, а также основные команды установки и настройки нужного ПО:
x.x.x.x - Server1
y.y.y.y - Server2
Server1:
server1:~# apt-get install tor stunnel4 openssl
server1:~# openssl genrsa -out key.pem 2048
server1:~# openssl req -new -x509 -key key.pem -out cert.pem -days 1095
server1:~# cat key.pem cert.pem >> /etc/stunnel/stunnel.pem
-----------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf
cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
client = yes
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
verify = 2
debug = 7
output = /stunnel.log
[ssh]
accept = 127.0.0.1:333
connect = xgofmxbgfjq5ngpuoo5oe3cwic4dbg454ofic3scwna5luah4bpet2qd.onion:444
-----------------------------------------------------
Примечание: xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion - это новая версия доменного имени сервиса tor, который расположен на хосте сервера server2, в директории /var/lib/tor/optik. Имя домена приведено случайным образом и оно может быть любым.
-----------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf /etc/default/stunnel4
ENABLED=1
Перезапустить сервис stunnel:
server1:~# systemctl restart stunnel4
-----------------------------------------------------
Приблизительное(могут быть нюансы) содержимое файла /etc/tor/torrc:
SocksPort 0 OnionTrafficOnly
TransPort 9444
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept *
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject *:*
ExitPolicy reject6 *:*
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1
-----------------------------------------------------
server1:~# sysctl -w net.ipv4.conf.eth0.route_localnet=1
server1:~# sysctl -w net.ipv4.ip_forward=1
Затем, прописать указанные строки в файл: /etc/sysctl.conf:
net.ipv4.conf.ens0.route_localnet=1
net.ipv4.ip_forward=1
Настройка файервола iptables:
iptables -t nat -A PREROUTING -p tcp --dport 222 -j DNAT --to-destination 127.0.0.1:333
iptables -t nat -A OUTPUT -p tcp --dport 444 -j REDIRECT --to-ports 9100
-----------------------------------------------------
Содержимое файла /etc/resolv.conf
nameserver 127.0.0.1
-----------------------------------------------------
Перезепускаем службы: tor, stunnel на server1
___________________________________________________________________________________________________________
Server2:
server2:~# apt-get install tor stunnel4 openssl
--------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf:
cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
verify = 2
debug = 7
output = /var/log/stunnel4/stunnel4.log
[ssh]
accept = 444
connect = 127.0.0.1:9050
-------------------------------------------------
server2:~# cat /etc/default/stunnel4
ENABLED=1
Перезапустить сервис stunnel:
server2:~# systemctl restart stunnel4
-------------------------------------------------
Приблизительное(могут быть нюансы) содержимое файла /etc/tor/torrc:
SocksPort 9050
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept 127.0.0.1
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject *:*
ExitPolicy reject6 *:*
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1
HiddenServiceDir /var/lib/tor/optik
HiddenServicePort 444 127.0.0.1:444
Задаем права доступа на файлы сервиса:
server2:~# chmod 700 /var/lib/tor/optik
Примечание: При перезапуске сервиса tor в папке /var/lib/tor/optik, генерируется onion-домен, в данном случае это:
xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion
------------------------------------------------
server2:~# sysctl -w net.ipv4.ip_forward=1
Затем, прописать указанные строки в файл: /etc/sysctl.conf:
net.ipv4.ip_forward=1
------------------------------------------------
Необходимо посмотреть dns адрес сервера Server2, тот, который мы вписываем в конфигурацию stunnel на Server1:
server2:~# cat /var/lib/tor/optik
или в некоторых случаях: server2:~# cat /var/lib/tor/optik/hostname
Где должно быть прописано указанное выше внутреннее доменное имя сервиса tor:
xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion
------------------------------------------------
Перезепускаем службы: tor, stunnel на server2
------------------------------------------------
На этом все, и теперь можно пробовать подключаться через данный условно-анонимный сокс на порт 222 по адресу x.x.x.x (server1)
При необходимости, через него прокидывается уже openvpn канал до нужного openvpn сервера, либо делать с ним что-то еще на ваше усмотрение. Цепочку разумеется можно дополнять или модифицировать по-разному.
Главное важно следующее: Для достижения анонимности использования только лишь VPN/TOR/PROXY сервера недостаточно, это не убережет вас от взлома вашей внутренней сети посредством уязвимостей и эксплоитов, а также многих других способов поражения вашей безопасности и деанона. Для этого необходимо проводить комплексную работу по реализации политик безопасности в контексте непосредственно вашей индивидуальной ситуации. За подробностями обращайтесь в контакты или ЛС.
С уважением, sysbot
Каркас конфигурации версии 2, для организации собственного анонимного сокс через два хоста с использованием tor, stunnel, openssl и iptables без учета силы алгоритмов шифрования Так как необходимые настройки в части шифрования вы вполне можете сделать самостоятельно:
В новой статье переработаны некоторые нюансы и актуализированы те моменты, которые устарели в прошлой статье по отношению к новым версиям ПО.Даны в основном настройки файлов конфигураций определенных служб, а также основные команды установки и настройки нужного ПО:
x.x.x.x - Server1
y.y.y.y - Server2
Server1:
server1:~# apt-get install tor stunnel4 openssl
server1:~# openssl genrsa -out key.pem 2048
server1:~# openssl req -new -x509 -key key.pem -out cert.pem -days 1095
server1:~# cat key.pem cert.pem >> /etc/stunnel/stunnel.pem
-----------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf
cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
client = yes
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
verify = 2
debug = 7
output = /stunnel.log
[ssh]
accept = 127.0.0.1:333
connect = xgofmxbgfjq5ngpuoo5oe3cwic4dbg454ofic3scwna5luah4bpet2qd.onion:444
-----------------------------------------------------
Примечание: xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion - это новая версия доменного имени сервиса tor, который расположен на хосте сервера server2, в директории /var/lib/tor/optik. Имя домена приведено случайным образом и оно может быть любым.
-----------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf /etc/default/stunnel4
ENABLED=1
Перезапустить сервис stunnel:
server1:~# systemctl restart stunnel4
-----------------------------------------------------
Приблизительное(могут быть нюансы) содержимое файла /etc/tor/torrc:
SocksPort 0 OnionTrafficOnly
TransPort 9444
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept *
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject *:*
ExitPolicy reject6 *:*
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1
-----------------------------------------------------
server1:~# sysctl -w net.ipv4.conf.eth0.route_localnet=1
server1:~# sysctl -w net.ipv4.ip_forward=1
Затем, прописать указанные строки в файл: /etc/sysctl.conf:
net.ipv4.conf.ens0.route_localnet=1
net.ipv4.ip_forward=1
Настройка файервола iptables:
iptables -t nat -A PREROUTING -p tcp --dport 222 -j DNAT --to-destination 127.0.0.1:333
iptables -t nat -A OUTPUT -p tcp --dport 444 -j REDIRECT --to-ports 9100
-----------------------------------------------------
Содержимое файла /etc/resolv.conf
nameserver 127.0.0.1
-----------------------------------------------------
Перезепускаем службы: tor, stunnel на server1
___________________________________________________________________________________________________________
Server2:
server2:~# apt-get install tor stunnel4 openssl
--------------------------------------------------
Содержимое файла /etc/stunnel/stunnel.conf:
cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
verify = 2
debug = 7
output = /var/log/stunnel4/stunnel4.log
[ssh]
accept = 444
connect = 127.0.0.1:9050
-------------------------------------------------
server2:~# cat /etc/default/stunnel4
ENABLED=1
Перезапустить сервис stunnel:
server2:~# systemctl restart stunnel4
-------------------------------------------------
Приблизительное(могут быть нюансы) содержимое файла /etc/tor/torrc:
SocksPort 9050
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept 127.0.0.1
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject *:*
ExitPolicy reject6 *:*
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1
HiddenServiceDir /var/lib/tor/optik
HiddenServicePort 444 127.0.0.1:444
Задаем права доступа на файлы сервиса:
server2:~# chmod 700 /var/lib/tor/optik
Примечание: При перезапуске сервиса tor в папке /var/lib/tor/optik, генерируется onion-домен, в данном случае это:
xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion
------------------------------------------------
server2:~# sysctl -w net.ipv4.ip_forward=1
Затем, прописать указанные строки в файл: /etc/sysctl.conf:
net.ipv4.ip_forward=1
------------------------------------------------
Необходимо посмотреть dns адрес сервера Server2, тот, который мы вписываем в конфигурацию stunnel на Server1:
server2:~# cat /var/lib/tor/optik
или в некоторых случаях: server2:~# cat /var/lib/tor/optik/hostname
Где должно быть прописано указанное выше внутреннее доменное имя сервиса tor:
xgofmxbgfjq5ngpuoo5oe3cwic4dbg787ofic3scwna5luah4bpet2qd.onion
------------------------------------------------
Перезепускаем службы: tor, stunnel на server2
------------------------------------------------
На этом все, и теперь можно пробовать подключаться через данный условно-анонимный сокс на порт 222 по адресу x.x.x.x (server1)
При необходимости, через него прокидывается уже openvpn канал до нужного openvpn сервера, либо делать с ним что-то еще на ваше усмотрение. Цепочку разумеется можно дополнять или модифицировать по-разному.
Главное важно следующее: Для достижения анонимности использования только лишь VPN/TOR/PROXY сервера недостаточно, это не убережет вас от взлома вашей внутренней сети посредством уязвимостей и эксплоитов, а также многих других способов поражения вашей безопасности и деанона. Для этого необходимо проводить комплексную работу по реализации политик безопасности в контексте непосредственно вашей индивидуальной ситуации. За подробностями обращайтесь в контакты или ЛС.
С уважением, sysbot