Блокируем браузер TOR

fil23 · Sep 24, 2015, 3:00 AM

А доступ к ДНС имеют все машины в сети? Правило, разрешающее обращение вовне на 53-ий порт tcp\udp имеют все?
Я бы разрешил только внутренним днс-серверам.

Squid и squidguard установлены?

Я постарался перекрыть все порты кроме нужны 80 443 и еще пару десятков. 53 среди разрешенных нету.
Я запустил сетевой снифер и увидел, что браузер TOR идет по 80му порту, на определенный IP (откуда, я так понимаю качает базу)
На счет Squid и squidguard - у нас более 200 хостов, и сервер не вывозит, инет начинает притормаживать, по этому не использую.

Еще печальная новость, оказывается у Google Chrome и у прочих браузеров есть плагины работающие по принципу TOR сетей. Тот же хром делает запросы через этот плагин к себе, на совой домен.

Хотя знаете , я вот сейчас заблокировал адрес 83.212.101.3 , и он перестал работать. Наверное буду раз в недельку или в месяц проверять на работоспособность браузера TOR.
Сейчас наверное буду с плагинами браузеров разбираться.
Короче со всех сторон обложили. :)

werter · Sep 25, 2015, 12:31 PM

Остался последний вариант.
Разрешить явно только то, что можно. Все остальное - будет заблокировано по-умолчанию.

BBcan177 · Sep 25, 2015, 3:20 PM

TOR IP Lists (pfBlockerNG):

https://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv
https://rules.emergingthreats.net/open/suricata/rules/tor.rules
http://list.iblocklist.com/?list=togdoptykrlolpddwbvz&fileformat=p2p&archiveformat=gz

fil23 · Sep 28, 2015, 3:24 AM

@BBcan177:

TOR IP Lists (pfBlockerNG):

https://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv
https://rules.emergingthreats.net/open/suricata/rules/tor.rules
http://list.iblocklist.com/?list=togdoptykrlolpddwbvz&fileformat=p2p&archiveformat=gz

не расскажете как прикрутить первые два набора правил?

BBcan177 · Sep 28, 2015, 3:26 AM

@fil23:

не расскажете как прикрутить первые два набора правил?

Use the "html" format :)

fil23 · Sep 28, 2015, 4:23 AM

@BBcan177:

@fil23:

не расскажете как прикрутить первые два набора правил?

Use the "html" format :)

In pfBlocker or other application?

BBcan177 · Sep 28, 2015, 4:27 AM

@fil23:

@BBcan177:

@fil23:

не расскажете как прикрутить первые два набора правил?

Use the "html" format :)

In pfBlocker or other application?

In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.

fil23 · Sep 28, 2015, 4:48 AM

@BBcan177:

In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.

Where this tab (IPv4)?

BBcan177 · Sep 28, 2015, 4:54 AM

@fil23:

@BBcan177:

In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.

Where this tab (IPv4)?

I assume you are on pfSense 2.1.x or older. You are probably using the old version of pfBlocker.

You cannot use those types of Lists, unless you upgrade pfSense to 2.2.x and use the new version pfBlockerNG. The "Lists" tab in the old pfBlocker is now called "IPv4" and added "IPv6" tab also.

fil23 · Sep 28, 2015, 5:23 AM

@BBcan177:

I assume you are on pfSense 2.1.x or older. You are probably using the old version of pfBlocker.

You cannot use those types of Lists, unless you upgrade pfSense to 2.2.x and use the new version pfBlockerNG. The "Lists" tab in the old pfBlocker is now called "IPv4" and added "IPv6" tab also.

Yes, I am using version by 2.1.
At the weekend I will update.
Thanks.

fil23 · Sep 28, 2015, 8:02 AM

А кто ни будь борится с meek-google?

werter · Sep 28, 2015, 11:20 AM

Все же попробуйте suricata . В ней есть набор правил для ТОРа.
Только учтите, что система требует времени на настройку и обучение.