TOR

1 view
Skip to first unread message

Vladislav Vetrov

unread,
Aug 23, 2019, 3:50:01 PM8/23/19
to
Hello All!

Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то могу ли
теперь клиенты TOR выходить через меня в интернет. Hе хотело бы превратиться в
проходной двор.

Vladislav

... -= - <<< - >>> - =-

Eugene Grosbein

unread,
Aug 23, 2019, 4:30:01 PM8/23/19
to
23 авг. 2019, пятница, в 22:43 NOVT, Vladislav Vetrov написал(а):

VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли
VV> теперь клиенты TOR выходить через меня в интернет. Hе хотело бы
VV> превратиться в
VV> проходной двор.

То есть ты хочешь ходить через других пользователей,
а чтобы через тебя никто не ходил? Такие юзера убивают суть p2p-сетей.

Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.

Eugene

Victor Sudakov

unread,
Aug 24, 2019, 12:40:01 AM8/24/19
to
Dear Vladislav,

23 Aug 19 22:43, you wrote to All:

VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.

Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным узлом,
можно ни тем ни другим.

Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По умолчанию
это вряд ли включено.

А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
пользуешься, но пользы ей никакой не приносишь. Скорее всего функция релея
включена по умолчанию.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Alexey Vissarionov

unread,
Aug 24, 2019, 3:35:01 AM8/24/19
to
Доброго времени суток, Vladislav!
23 Aug 2019 22:43:32, ты -> All:

VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV> Hе хотело бы превратиться в проходной двор.

Это обязательное условие для работы: и твои, и чужие соединения идут внутри
одних и тех же тоннелей. То есть, если хочешь пользоваться чужими ресурсами -
предоставляй свои.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Ну что же вы стоите на пороге? Не стесняйтесь, идите отсюда!

Alexey Vissarionov

unread,
Aug 24, 2019, 3:40:01 AM8/24/19
to
Доброго времени суток, Eugene!
24 Aug 2019 03:16:16, ты -> Vladislav Vetrov:

VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
EG> То есть ты хочешь ходить через других пользователей, а чтобы через
EG> тебя никто не ходил? Такие юзера убивают суть p2p-сетей.

Оверлейных сетей, где это было даже теоретически возможно, уже не осталось:
теперь для того, чтобы пользоваться чужими ресурсами, надо предоставить свои.

EG> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.

Жень, ты что? Это ж деньги платить... :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пароль - как коньяк: чем больше звездочек, тем лучше

Vladislav Vetrov

unread,
Aug 24, 2019, 3:40:01 AM8/24/19
to
Hello Victor!

24 авг 19 11:15, you wrote to me:

VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV>> могут ли теперь клиенты TOR выходить через меня в интернет. Hе хотелось
VV>> бы превратиться в проходной двор.
VS>
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным
VS> узлом, можно ни тем ни другим.

А в чём отличие между выходным узлом и релеем?

VS>Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По
VS> умолчанию это вряд ли включено.

Дело Богатова нашёл, действительно опасно -
https://meduza.io/feature/2017/08/01/ya-ne-rekomenduyu-derzhat-vyhodnye-uzly-tor-doma

Alexey Vissarionov

unread,
Aug 24, 2019, 3:50:02 AM8/24/19
to
Доброго времени суток, Victor!
24 Aug 2019 11:15:42, ты -> Vladislav Vetrov:

VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть
VS> выходным узлом, можно ни тем ни другим.

Промежуточным релеем ты работаешь всегда, и это неотключаемо. Явно выключить
можно (попробовать, хи-хи) только вход или выход.

VS> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").

Его нашли прежде всего как экстремиста, и только в процессе обнаружили выход
сабжа (точнее, слепили из него отягчающее обстоятельство).

Но тут поцыэнт сам себе дурак.

VS> По умолчанию это вряд ли включено.

Не надо считать разработчиков дебилами: по умолчанию как раз включено все, а
отключается оно либо если не работает, либо вручную пользователем.

VS> А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
VS> пользуешься, но пользы ей никакой не приносишь. Скорее всего функция
VS> релея включена по умолчанию.

Она не просто включена - это основа "анонимизации", которую на заре своего
появления пытался предоставлять сабж. Сейчас это не более, чем прокси для
нищебродов.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Политкорректная замена термина "черная дыра" - "афроотверстие"

Vladislav Vetrov

unread,
Aug 24, 2019, 4:05:01 AM8/24/19
to
Hello Victor!

24 авг 19 11:15, you wrote to me:

VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV>> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV>> бы превратиться в проходной двор.
VS>
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным
VS> узлом, можно ни тем ни другим.

Hашёл толковую статью - http://nadejnei.net/doku.php?id=tor_exit_relay

Цитата:

1) Relay - это публичные ретрансляторы в сети TOR. Получить список
ретрансляторов можно здесь -> Globe, Atlas. Главная задача ретрансляторов
состоит в том, что бы перегонять через себя транзитный трафик, т.е.
ретранслятор является посредником в цепочке нодов, но точно так же есть
возможность настроить ретранслятор на работу в режиме выходной точки и
одновременно TOR Socks Proxy .

2) Bridge - мост, является точкой входа в саму сеть TOR. Может являться
публичным мостом или не публичным. В случае с развёртыванием не публичного
моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять сход
в сеть TOR пользователям стран с сильной цензурой), он не будет доступен по
ссылкам приведённым в описании Relay и что бы пользователь мог получить мосты
для подключения к сети нужно настроить TOR клиент для работы через мост, либо
(если в вашей стране закрыт доступ к мостам TOR) написать письмо в Tor Project
с просьбой прислать вам несколько IP адресов с мостами (в основном вам пришлют
3 рандомных адреса). Так же bridge может работать в решиме проски сервера с
поддержкой обфускации трафика, Obfsproxy(используется для того, что бы обойти
DPI. Так же имеется возможность прикрутить авторизацию, для использования
нашего моста.

3) Exit Node - собственно завершающее звено в сети. Точка из которой выходят
запросы клиентов к внешним ресурсам. По сути дела мало чего можно рассказать
про то, чем является Exit Node. Hо стоит сказать то, что выходной нодой может
являтся как relay, так и bridge(не рекомендуется делать мост одновременно и
точкой выхода, особенно есть ваш мост не публичный !!).

...

ExitPolicy accept *:20 <- данный параметр определяет, какие порты и от каких
адресов мы будем разрешать использовать на выходе (если вы планируете
использовать свой сервер Exit Node). Если вы не хотите быть Exit Node а только
ретранслятором, то просто напишите ExitPolicy reject *:*

------------------------

Как запретить выходной узел вроде разобрался.

Vladislav Vetrov

unread,
Aug 24, 2019, 4:35:01 AM8/24/19
to
Hello Vladislav!

24 авг 19 10:55, I wrote to Victor Sudakov:

VV> 1) Relay - это публичные ретрансляторы в сети TOR. Получить список
VV> ретрансляторов можно здесь -> Globe, Atlas. Главная задача ретрансляторов
VV> состоит в том, что бы перегонять через себя транзитный трафик, т.е.
VV> ретранслятор является посредником в цепочке нодов, но точно так же есть
VV> возможность настроить ретранслятор на работу в режиме выходной точки и
VV> одновременно TOR Socks Proxy .
VV>
VV> 2) Bridge - мост, является точкой входа в саму сеть TOR. Может являться
VV> публичным мостом или не публичным. В случае с развёртыванием не публичного
VV> моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять
VV> сход в сеть TOR пользователям стран с сильной цензурой), он не будет
VV> доступен по ссылкам приведённым в описании Relay и что бы пользователь мог
VV> получить мосты для подключения к сети нужно настроить TOR клиент для
VV> работы
VV> через мост, либо (если в вашей стране закрыт доступ к мостам TOR) написать
VV> письмо в Tor Project с просьбой прислать вам несколько IP адресов с
VV> мостами
VV> (в основном вам пришлют 3 рандомных адреса). Так же bridge может работать
VV> в
VV> решиме проски сервера с поддержкой обфускации трафика,
VV> Obfsproxy(используется для того, что бы обойти DPI. Так же имеется
VV> возможность прикрутить авторизацию, для использования нашего моста.
VV>
VV> 3) Exit Node - собственно завершающее звено в сети. Точка из которой
VV> выходят
VV> запросы клиентов к внешним ресурсам. По сути дела мало чего можно
VV> рассказать
VV> про то, чем является Exit Node. Hо стоит сказать то, что выходной нодой
VV> может являтся как relay, так и bridge(не рекомендуется делать мост
VV> одновременно и точкой выхода, особенно есть ваш мост не публичный !!).

Там же нашёл:

BridgeRelay 0 <- Так как мы деплоим relay, то устанавливаем параметр 0.

__________

В самом конфиге написано:

## Bridge relays (or "bridges") are Tor relays that aren't listed in the
## main directory. Since there is no complete public list of them, even an
## ISP that filters connections to all the known Tor relays probably
## won't be able to block all the bridges. Also, websites won't treat you
## differently because they won't know you're running Tor. If you can
## be a real relay, please do; but if not, be a bridge!
#BridgeRelay 1


Hе совсем понятно. BridgeRelay - это что? С точки зрения трёх вариантов работы
TOR (см. цитату выше).

Также напрягает выражение:

VV> но точно так же есть возможность настроить ретранслятор на работу в
VV> режиме выходной точки и одновременно TOR Socks Proxy .

В общем, мне выходная точка не нужна. Как запретить работу ретранслятора в
режиме выходной точки и одновременно TOR Socks Proxy? Может кто подскажет?

Vladislav Vetrov

unread,
Aug 24, 2019, 4:35:01 AM8/24/19
to
Hello Alexey!

24 авг 19 10:33, you wrote to Victor Sudakov:

VS>> По умолчанию это вряд ли включено.
AV>
AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.

По умолчанию выключена. Цитата из моего конфига:

## For security, by default Tor rejects connections to private (local)
## networks, including to the configured primary public IPv4 and IPv6
addresses,
## and any public IPv4 and IPv6 addresses on any interface on the relay.
## See the man page entry for ExitPolicyRejectPrivate if you want to allow
## "exit enclaving".

Vladislav Vetrov

unread,
Aug 24, 2019, 4:40:01 AM8/24/19
to
Hello Alexey!

24 авг 19 10:33, you wrote to Victor Sudakov:

AV> Его нашли прежде всего как экстремиста, и только в процессе обнаружили
AV> выход
AV> сабжа (точнее, слепили из него отягчающее обстоятельство).
AV>
AV> Hо тут поцыэнт сам себе дурак.

А почему он дурак? Он сделал, как ты говоришь - предоставил выходную точку
через свой домашний комп. И оказался дураком...

Vladislav Vetrov

unread,
Aug 24, 2019, 4:50:01 AM8/24/19
to
Hello Alexey!

24 авг 19 10:33, you wrote to Victor Sudakov:

AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.

Кстати, подскажи, как посмотреть текущие рабочие настройки? Заодно проверим,
есть ли там "ExitPolicy reject *:*" по умолчанию?..

в man tor нашёл только --list-torrc-options, то выхлоп без текущих значений.

Vladislav Vetrov

unread,
Aug 24, 2019, 6:40:01 AM8/24/19
to
Hello Alexey!

24 авг 19 10:33, you wrote to Victor Sudakov:

AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.

Вот ещё нашёл:

ExitRelay 0|1|auto

Tells Tor whether to run as an exit relay. If Tor is running as a non-bridge
server, and ExitRelay is set to 1, then Tor allows traffic to exit according to
the ExitPolicy option (or the default ExitPolicy if none is specified).

If ExitRelay is set to 0, no traffic is allowed to exit, and the ExitPolicy
option is ignored.

If ExitRelay is set to "auto", then Tor behaves as if it were set to 1, but
warns the user if this would cause traffic to exit. In a future version, the
default value will be 0. (Default: auto)

------------

Я так понимаю, что exit relay - это и есть exit node - завершающее звено цепи
TOR? Если да, то по умолчанию выключено.

Eugene Grosbein

unread,
Aug 24, 2019, 11:50:01 AM8/24/19
to
24 авг. 2019, суббота, в 10:28 NOVT, Alexey Vissarionov написал(а):

EG>> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
AV> Жень, ты что? Это ж деньги платить... :-)

О да, у Арубы кончился промоушн и теперь одним евро не отделаться.
Теперь лучшее предложение, увы, целых 230 рублей в месяц
за полноценную виртуалку с выделенным публичным IPv4 и блоком IPv6,
2 гигабайтами памяти и 20 гигабайтами SSD, разориться можно.

https://www.hetzner.com/cloud-ru

Eugene
--
Чтобы всё как у всех, но чтоб при этом - не так, как они.

Victor Sudakov

unread,
Aug 24, 2019, 12:25:01 PM8/24/19
to
Dear Alexey,

24 Aug 19 10:33, you wrote to me:

VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в
VV>>> интернет. Hе хотело бы превратиться в проходной двор.
VS>> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть
VS>> выходным узлом, можно ни тем ни другим.

AV> Промежуточным релеем ты работаешь всегда, и это неотключаемо.

Похоже ты прав, не могу сейчас найти в torrc возможности отключить релей.
Только лимиты по трафику и т.п. можно поставить. А раньше помнится, можно было.

AV> Явно
AV> выключить можно (попробовать, хи-хи) только вход или выход.

VS>> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").

AV> Его нашли прежде всего как экстремиста,

Пруф можно? В чем его экстремизм заключался?

AV> и только в процессе обнаружили
AV> выход сабжа (точнее, слепили из него отягчающее обстоятельство).

А что обнаружили у него до выхода сабжа?

AV> Но тут поцыэнт сам себе дурак.

VS>> По умолчанию это вряд ли включено.

AV> Не надо считать разработчиков дебилами: по умолчанию как раз включено
AV> все, а отключается оно либо если не работает, либо вручную
AV> пользователем.

Нет, в том torrc, который сейчас передо мной, ExitRelay надо явным образом
раскомментировать.

VS>> А быть релеем по-моему желательно, потому что иначе ты сабжевой
VS>> сетью пользуешься, но пользы ей никакой не приносишь. Скорее
VS>> всего функция релея включена по умолчанию.

AV> Она не просто включена - это основа "анонимизации", которую на заре
AV> своего появления пытался предоставлять сабж.

Как раз на заре появления AFAIR функционал релея можно было отключить в
конфиге.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

I Almaz

unread,
Aug 24, 2019, 4:40:01 PM8/24/19
to
Привет, Vladislav!

Ответ на сообщение Vladislav Vetrov (2:5020/2140.152) к All, написанное 23
авг 19 в 22:43:

VV> Hello All!

VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.

Мне норм :-)
если не нравится - есть прокси и VPN. Т.к. я сомневаюсь, что за посещение
телеграма/телеграфа посадят (всех не пересажают), то можно бесплатные.
Напрягают бесплатные - есть браузер Opera, со встроенным и бесплатныи ВПН :-)

С уважением - Ivan

Alexey Fayans

unread,
Aug 25, 2019, 7:15:01 AM8/25/19
to
Hello Vladislav!

On Sat, 24 Aug 2019 at 10:25 +0300, Alexey Vissarionov wrote to you:

VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
AV> Это обязательное условие для работы: и твои, и чужие соединения идут
AV> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV> чужими ресурсами - предоставляй свои.

Это не совсем так. По умолчанию через тебя идёт только промежуточный
зашифрованный трафик внутри сабжа. Проблемы могут появиться только если ты
настроишь сабж как exit-ноду.


... Music Station BBS | https://bbs.bsrealm.net | telnet://bbs.bsrealm.net

Alexey Vissarionov

unread,
Aug 25, 2019, 11:10:01 AM8/25/19
to
Доброго времени суток, Alexey!
25 Aug 2019 14:11:00, ты -> Vladislav Vetrov:

VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>> Hе хотело бы превратиться в проходной двор.
AV>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>> чужими ресурсами - предоставляй свои.
AF> Это не совсем так. По умолчанию через тебя идёт только промежуточный
AF> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF> если ты настроишь сабж как exit-ноду.

СОРМ-2? Не... ни разу не слышал :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Как мяукнется - так и отгавкнется

Vladislav Vetrov

unread,
Aug 25, 2019, 3:15:01 PM8/25/19
to
Hello Alexey!

25 авг 19 18:03, you wrote to Alexey Fayans:

VV>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>> Hе хотело бы превратиться в проходной двор.
AV>>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>>> чужими ресурсами - предоставляй свои.
AF>> Это не совсем так. По умолчанию через тебя идёт только промежуточный
AF>> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF>> если ты настроишь сабж как exit-ноду.
AV>
AV> СОРМ-2? Hе... ни разу не слышал :-)

А ты слышал, как он работает?

Alexey Vissarionov

unread,
Aug 25, 2019, 7:35:02 PM8/25/19
to
Доброго времени суток, Vladislav!
25 Aug 2019 22:07:54, ты -> мне:

VV>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>> появиться только если ты настроишь сабж как exit-ноду.
AV>> СОРМ-2? Hе... ни разу не слышал :-)
VV> А ты слышал, как он работает?

Я достоверно знаю, как он работает :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Я не злопамятный, но логи веду

Eugene Grosbein

unread,
Aug 26, 2019, 1:40:01 AM8/26/19
to
26 авг. 2019, понедельник, в 02:27 NOVT, Alexey Vissarionov написал(а):

VV>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>> А ты слышал, как он работает?
AV> Я достоверно знаю, как он работает :-)

/me too. Он не вмешивается в трафик и со стойкой криптографией
ничего не может, но зато он может засечь факт транзита между
IP-адресами юзера провайдера и адресами в сети. Вычислить ноду TOR
особенных проблем не составляет, было бы желание.

Eugene

Alexey Fayans

unread,
Aug 26, 2019, 4:00:02 AM8/26/19
to
Hello Alexey!

On Sun, 25 Aug 2019 at 18:03 +0300, you wrote to me:

AV>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>> пользоваться чужими ресурсами - предоставляй свои.
AF>> Это не совсем так. По умолчанию через тебя идёт только
AF>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>> появиться только если ты настроишь сабж как exit-ноду.
AV> СОРМ-2? Не... ни разу не слышал :-)

За использование сабжа у нас не сажают (пока), а что там внутри ходит, СОРМ-2
вряд ли сможет разнюхать.

Alexey Vissarionov

unread,
Aug 26, 2019, 1:50:01 PM8/26/19
to
Доброго времени суток, Eugene!
26 Aug 2019 12:31:54, ты -> мне:

VV>>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня
VV>>>>>>> белый IP, то могу ли теперь клиенты TOR выходить через
VV>>>>>>> меня в интернет. Hе хотело бы превратиться в проходной двор.
AV>>>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>> А ты слышал, как он работает?
AV>> Я достоверно знаю, как он работает :-)
EG> /me too. Он не вмешивается в трафик и со стойкой криптографией
EG> ничего не может,

DPI - это уже СОРМ-3.

EG> но зато он может засечь факт транзита между IP-адресами юзера
EG> провайдера и адресами в сети. Вычислить ноду TOR

... а следовательно, и любого пользователя сабжа, ...

EG> особенных проблем не составляет, было бы желание.

[голосом двоих из ларца]
АГА!


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Сверхзвуковая реактивная ступа с изменяемой геометрией помела

Alexey Vissarionov

unread,
Aug 26, 2019, 1:50:01 PM8/26/19
to
Доброго времени суток, Alexey!
26 Aug 2019 10:43:06, ты -> мне:

AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>> появиться только если ты настроишь сабж как exit-ноду.
AV>> СОРМ-2? Не... ни разу не слышал :-)
AF> За использование сабжа у нас не сажают (пока), а что там внутри
AF> ходит, СОРМ-2 вряд ли сможет разнюхать.

Это не его забота: DPI - это СОРМ-3.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Никогда не оставляйте в туалете кубик Рубика!

Eugene Grosbein

unread,
Aug 26, 2019, 8:00:02 PM8/26/19
to
26 авг. 2019, понедельник, в 20:40 NOVT, Alexey Vissarionov написал(а):

AV>>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>>> А ты слышал, как он работает?
AV>>> Я достоверно знаю, как он работает :-)
EG>> /me too. Он не вмешивается в трафик и со стойкой криптографией
EG>> ничего не может,
AV> DPI - это уже СОРМ-3.

СОРМ и СОРМ-2 это официальные названия были,
но я не слышал, чтобы на яровой сумке ставили штампик СОРМ-3.

EG>> но зато он может засечь факт транзита между IP-адресами юзера
EG>> провайдера и адресами в сети. Вычислить ноду TOR
AV> ... а следовательно, и любого пользователя сабжа, ...
EG>> особенных проблем не составляет, было бы желание.
AV> [голосом двоих из ларца]
AV> АГА!

Как и пользователя любой другой p2p-сети типа bittorrent
или любого традиционного вида VPN без стеганографии,
но пока это не наказуемо.

Eugene

I Almaz

unread,
Aug 27, 2019, 8:40:02 AM8/27/19
to
Привет, Alexey!

Ответ на сообщение Alexey Vissarionov (2:5020/545) к Alexey Fayans,
написанное 25 авг 19 в 18:03:

AV> СОРМ-2? Не... ни разу не слышал :-)

Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.

С уважением - I

Eugene Grosbein

unread,
Aug 27, 2019, 4:40:01 PM8/27/19
to
27 авг. 2019, вторник, в 14:09 NOVT, I Almaz написал(а):

AV>> СОРМ-2? Hе... ни разу не слышал :-)
IA> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.

У всех операторов связи без исключения, кто работает в белую -
без него нельзя сдать узел связи в эксплуатацию.

Операторы связи в данном случае не только интернет-провайдеры.
Телефонные операторы стационарной и мобильной связи тоже,
для телефонии свои технологии в СОРМ-2.

Eugene
--
Поэты - страшные люди. У них все святое.

Stanislav Vlasov

unread,
Aug 28, 2019, 12:10:01 AM8/28/19
to
Привет, Eugene!

28 Aug 19 03:33, Eugene Grosbein -> I Almaz:

AV>>> СОРМ-2? Hе... ни разу не слышал :-)
IA>> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных
IA>> компаний.

EG> У всех операторов связи без исключения, кто работает в белую -
EG> без него нельзя сдать узел связи в эксплуатацию.

EG> Операторы связи в данном случае не только интернет-провайдеры.
EG> Телефонные операторы стационарной и мобильной связи тоже,
EG> для телефонии свои технологии в СОРМ-2.

Точнее, все, кому требуется лицензия на телематические услуги.
В частности, услуги электронной почты за деньги (по-крайней мере, лет 5 назад -
точно требовалось...)

С наилучшими пожеланиями, Stanislav.

Alexey Fayans

unread,
Aug 28, 2019, 6:20:01 PM8/28/19
to
Hello Alexey!

On Mon, 26 Aug 2019 at 20:42 +0300, you wrote to me:

AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Не... ни разу не слышал :-)
AF>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV> Это не его забота: DPI - это СОРМ-3.

DPI может только определить тип трафика, а не его содержимое, так что всё равно
мимо. :)

Eugene Grosbein

unread,
Aug 28, 2019, 11:45:02 PM8/28/19
to
29 авг. 2019, четверг, в 01:00 NOVT, Alexey Fayans написал(а):

AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> DPI может только определить тип трафика, а не его содержимое, так что всё
AF> равно
AF> мимо. :)

Мимо или нет - сильно зависит от предъявленного обвинения.
Судье потом будешь рассказывать, что мол "мимо".

Eugene

Alexey Vissarionov

unread,
Aug 29, 2019, 10:50:01 AM8/29/19
to
Доброго времени суток, Alexey!
29 Aug 2019 01:00:12, ты -> мне:

AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> DPI может только определить тип трафика, а не его содержимое, так
AF> что всё равно мимо. :)

Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Не рой другому яму - используй ту, которую он вырыл для тебя

Eugene Grosbein

unread,
Aug 29, 2019, 12:55:01 PM8/29/19
to
29 авг. 2019, четверг, в 17:40 NOVT, Alexey Vissarionov написал(а):

AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?

Hикто не заставляет использовать сертификаты от публичных CA
для шифрования трафика. Доверие к ним - нулевое.

Eugene

Viktor V. Kudlak

unread,
Aug 29, 2019, 4:15:02 PM8/29/19
to
Hello Eugene.

29 Aug 19 23:42, you wrote to Alexey Vissarionov:

AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
AV>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там
AF>>>>> внутри ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое,
AF>>> так что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>> "сотрудничают"?

EG> Hикто не заставляет использовать сертификаты от публичных CA
EG> для шифрования трафика. Доверие к ним - нулевое.

просто не доверяйте генерацию ключа приватного никому.
кем подписан ваш CSR не имеет значения
важно как происходит хендшейк и важно каким CA доверяет браузер клиента.

Viktor

Alexey Vissarionov

unread,
Aug 30, 2019, 4:15:01 AM8/30/19
to
Доброго времени суток, Eugene!
29 Aug 2019 23:42:58, ты -> мне:

AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
AV>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
EG> Hикто не заставляет использовать сертификаты от публичных CA для
EG> шифрования трафика. Доверие к ним - нулевое.

Понятно, что самоподписанный сертификат надежнее... осталось придумать
аналогичный по надежности способ его доставки каждому пользователю.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Хайло (сущ.): инструмент для руководства горными и земляными работами

Alexey Vissarionov

unread,
Aug 30, 2019, 4:20:02 AM8/30/19
to
Доброго времени суток, Viktor!
29 Aug 2019 22:56:22, ты -> Eugene Grosbein:

AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
AV>>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>>> "сотрудничают"?
EG>> Hикто не заставляет использовать сертификаты от публичных CA
EG>> для шифрования трафика. Доверие к ним - нулевое.
VVK> просто не доверяйте генерацию ключа приватного никому.
VVK> кем подписан ваш CSR не имеет значения
VVK> важно как происходит хендшейк и важно каким CA доверяет браузер
VVK> клиента.

Дык посмотри, каким. И попробуй хотя бы оценить количество "сотрудничающих".


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Облачных технологий не существует - существуют только чужие компутеры

Eugene Grosbein

unread,
Aug 30, 2019, 7:45:01 AM8/30/19
to
30 авг. 2019, пятница, в 11:03 NOVT, Alexey Vissarionov написал(а):

AV> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV> аналогичный по надежности способ его доставки каждому пользователю.

Это зависит от того, какие пользователи. Если пользователи - клиенты,
которым поставляется софт, железо или услуги с физическим посещением
или доставкой носителя хотя бы раз - лучше всего так и доставить
сертификат или GPG-ключ, которым потом проверять хоть почту подписанную.

Eugene
--
Сердце - малочувствительный, мускулистый, грубый и жесткий орган.

Victor Sudakov

unread,
Aug 30, 2019, 11:05:02 PM8/30/19
to
Dear Alexey,

29 Aug 19 17:40, you wrote to Alexey Fayans:

AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
AV>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)

AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?

С российскими производителями оборудования для СОРМ? Почти уверен, что не
сотрудничают. Вот в Казахстане совсем топорно получилось:
https://roskomsvoboda.org/49053/
Разве что всплывали некие факты, тогда с интересом послушаю и признаю свою
неинформированность.

IMHO идея прослушивать весь *транзитный* трафик всех пользователей спецслужбами
могла возникнуть только от некомпетентности. Гораздо эффективнее а) затроянить
конечные устройства б) принудить операторов сервисов типа Facebook и Gmail
выдавать данные и т.п.

А вот для коммерсантов такая возможность внедряться в трафик может представлять
коммерческий интерес, который впрочем граничит с криминалом:
https://pikabu.ru/story/kak_tele2_massovo_vnedryaet_svoi_skriptyi_na_saytyi_cherez_cdn_688
8214

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Victor Sudakov

unread,
Aug 30, 2019, 11:05:02 PM8/30/19
to
Dear Alexey,

30 Aug 19 11:03, you wrote to Eugene Grosbein:

AF>>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>>> могут появиться только если ты настроишь сабж как
AF>>>>>>>> exit-ноду.
AV>>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>>> За использование сабжа у нас не сажают (пока), а что там
AF>>>>>> внутри ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>>> Это не его забота: DPI - это СОРМ-3.
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
AV>>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>>> "сотрудничают"?
EG>> Hикто не заставляет использовать сертификаты от публичных CA для
EG>> шифрования трафика. Доверие к ним - нулевое.

AV> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV> аналогичный по надежности способ его доставки каждому пользователю.

Публикация сертификатов в DNS тебе не нравится?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Eugene Grosbein

unread,
Aug 31, 2019, 2:05:01 AM8/31/19
to
31 авг. 2019, суббота, в 09:54 NOVT, Victor Sudakov написал(а):

AV>> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV>> аналогичный по надежности способ его доставки каждому пользователю.
VS> Публикация сертификатов в DNS тебе не нравится?

В DNS тоже есть mitm.

Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.

Victor Sudakov

unread,
Aug 31, 2019, 11:50:02 AM8/31/19
to
Dear eugen,

31 Aug 19 12:46, Eugene Grosbein wrote to me:

AV>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>> придумать аналогичный по надежности способ его доставки каждому
AV>>> пользователю.
VS>> Публикация сертификатов в DNS тебе не нравится?

EG> В DNS тоже есть mitm.

Как его осуществить в DNSSEC? Есть известные атаки?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Eugene Grosbein

unread,
Sep 1, 2019, 8:25:01 AM9/1/19
to
31 авг. 2019, суббота, в 22:37 NOVT, Victor Sudakov написал(а):

AV>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>> пользователю.
VS>>> Публикация сертификатов в DNS тебе не нравится?
EG>> В DNS тоже есть mitm.
VS> Как его осуществить в DNSSEC? Есть известные атаки?

А что, DNSSEC-у не нужна изначальный источник доверия?

Eugene

Victor Sudakov

unread,
Sep 1, 2019, 10:25:01 AM9/1/19
to
Dear eugen,

01 Sep 19 19:10, Eugene Grosbein wrote to me:

AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
AV>>>>> каждому пользователю.
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?

EG> А что, DNSSEC-у не нужна изначальный источник доверия?

Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО
(операционные системы, резолверы и т.п.). Я почему и не говорю "это невозможно
осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий должен
для этого подменить /var/unbound/root.key на моём компе или подменить бинарник
unbound, насколько это легко сделать?

С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому
DNS-серверу и сам не делает dnssec validation, то провайдер сделает со мной что
хочет.

В связи с чем интересно, как обстоит дело с dnssec validation на планшетах,
мобилах и т.п.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Alexey Fayans

unread,
Sep 1, 2019, 4:55:02 PM9/1/19
to
Hello Eugene!

On Thu, 29 Aug 2019 at 10:36, you wrote to me:

AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
EG> Мимо или нет - сильно зависит от предъявленного обвинения.
EG> Судье потом будешь рассказывать, что мол "мимо".

Прецеденты были?

Alexey Fayans

unread,
Sep 1, 2019, 4:55:02 PM9/1/19
to
Hello Alexey!

On Thu, 29 Aug 2019 at 17:40 +0300, you wrote to me:

AV>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?

Тор как бы опенсорсный и сертификаты доверенных CA не использует. Так что
насчёт содержимого - это какие-то сказочки. Или мы уже с обсуждения сабжа
перешли на обсуждение HTTPS?

Alexey Vissarionov

unread,
Sep 2, 2019, 1:30:01 AM9/2/19
to
Доброго времени суток, Alexey!
01 Sep 2019 23:27:12, ты -> Eugene Grosbein:

AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
EG>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>> Судье потом будешь рассказывать, что мол "мимо".
AF> Прецеденты были?

Еще хуже: судебная практика была.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Лучше отписываться, чем отпеваться

Alexey Vissarionov

unread,
Sep 2, 2019, 1:40:02 AM9/2/19
to
Доброго времени суток, Alexey!
01 Sep 2019 23:35:42, ты -> мне:

AV>>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
AF> Тор как бы опенсорсный и сертификаты доверенных CA не использует.
AF> Так что насчёт содержимого - это какие-то сказочки.

В случае сабжа содержимое извлекается из пользователя классическим шланговым
методом. А обнаружить его использование и найти пользователя совсем просто.

AF> Или мы уже с обсуждения сабжа перешли на обсуждение HTTPS?

В этой ветке - очевидным образом да.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Кто с чем к нам зачем - тот от того и того

Eugene Grosbein

unread,
Sep 2, 2019, 1:40:02 AM9/2/19