Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense vs TOR browser

    Scheduled Pinned Locked Moved Russian
    21 Posts 7 Posters 8.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • deem73D
      deem73
      last edited by

      Долго читаю интернет на предмет того как заблокировать TOR browser. Ничего путного  не нахожу.
      А задача вот-вот будет поставлена.

      Что скажут многоуважаемые гуру? Как с помощью pfsense заблокировать ТОР браузер? Небольшие административные усилия допускаются.

      Читал, что если раздобыть список TOR серверов, то тогда их уже можно внести в правила, ни ведь и списка такого тоже нет.

      2.0.2-RELEASE (i386)
      built on Fri Dec 7 16:30:14 EST 2012

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Попробуйте поискать информацию о сигнатурах пакетов тора. Тогда есть вариант использовать их в L7 Layer

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • deem73D
          deem73
          last edited by

          dvserg, А как другие-то блокируют ТОР?
          Ведь наверняка задача типовая!

          2.0.2-RELEASE (i386)
          built on Fri Dec 7 16:30:14 EST 2012

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            http://forums.untangle.com/application-control-lite/15101-detect-use-tor.html

            Detecting is easy.
            Enable log TLS in Protocol Control. If you see lot new connections in the same time on ports different than 443 and 995 (google) it is TOR

            1 Reply Last reply Reply Quote 0
            • deem73D
              deem73
              last edited by

              Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

              2.0.2-RELEASE (i386)
              built on Fri Dec 7 16:30:14 EST 2012

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @deem73:

                Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

                Firewall: Traffic Shaper: Layer7 .

                Далее создавайте правило в fw с Action: Block  , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
                И , ес-но, правило должно стоять по списку выше разрешающих .

                P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
                В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.php

                tor.JPG
                tor.JPG_thumb

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  А тор изначально присутствовал в леере? Что-то я проглядел мимо.

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @dvserg:

                    А тор изначально присутствовал в леере? Что-то я проглядел мимо.

                    Ну , если tor - это TOR , тогда - да. ;D

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      @dvserg:

                      А тор изначально присутствовал в леере? Что-то я проглядел мимо.

                      В 2.0.2 tor присутствует.

                      Попытался на основании этих рекомендаций заблокировать bittorrent.

                      pfSense отказался сохранять блокирующее правило:

                      The following input errors were detected:

                      You can only select a layer7 container for Pass type rules.

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg
                        last edited by

                        Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          @dvserg:

                          Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

                          Хмм, у меня не блокирует :(
                          Правило Pass в fw, пытался dns заблочить. Стоит самым первым. Если не трудно - проверьте у себя, пож-та.

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg
                            last edited by

                            Гугл 1 ссылка с примером
                            http://small-town-nobody.blogspot.ru/2012/05/pfsense.html

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother
                              last edited by

                              @dvserg:

                              Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

                              В свое время блокировал так соц-сети. Паттерн для них пробегал в форуме.
                              Именно - повесил Layer 7 на основное правило(pass)  доступа Lan в интернет, все работало.
                              Попробовал счас со встроенным в 2.0.2 паттерном для bittorrent - никакой реакции.

                              Да, именно по ссылке выше.

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother
                                  last edited by

                                  @werter:

                                  Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?

                                  Создавал и Floating, и Lan - торренты пролазят все равно.

                                  1 Reply Last reply Reply Quote 0
                                  • deem73D
                                    deem73
                                    last edited by

                                    @werter:

                                    @deem73:

                                    Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

                                    Firewall: Traffic Shaper: Layer7 .

                                    Далее создавайте правило в fw с Action: Block  , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
                                    И , ес-но, правило должно стоять по списку выше разрешающих .

                                    P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
                                    В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.php

                                    Что-то не действует это правило. TOR браузер загрузился, запретные сайты всё равно открываются.

                                    pfsense-tor-vk.JPG
                                    pfsense-tor-vk.JPG_thumb

                                    2.0.2-RELEASE (i386)
                                    built on Fri Dec 7 16:30:14 EST 2012

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
                                      Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        Lexus34
                                        last edited by

                                        @werter:

                                        На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
                                        Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.

                                        Ну и наблюдаем рабочий Tor т.к для связи он первым делом пробует 80 tcp, 443 tcp, появился у нас один такой умник, не знаю что с ним делать….
                                        Список IP адресов сетей Tor можно получить тут http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv

                                        В начале пробовал задать обновляемый ACL в squid

                                        ########################################
                                        acl TORLIST dst "/var/squid/acl/TorIP.list"
                                        http_access deny TORLIST
                                        acl CTORLIST dst "/var/squid/acl/CTorIP.list" # Custom
                                        http_access deny CTORLIST
                                        ########################################

                                        В скупе со скриптом

                                        ########################################

                                        #!/bin/sh

                                        TOR server list

                                        cd /var/squid/acl
                                        fetch http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
                                        sort -u Tor_ip_list_ALL.csv > TorIP.list
                                        rm Tor_ip_list_ALL.csv
                                        /opt/qlproxy/bin/restart.sh

                                        ########################################

                                        Но потом понял что стормозил, squid у меня в режиме transparent, и ни какого трафика кроме как на портах 80, 443 заблокировать через этот ACL не сможет, нужно iptables…

                                        Предлагаю обсудить как автоматизировать этот процесс  в скупе с iptables, думаю не мы одни с такой проблемой.

                                        1 Reply Last reply Reply Quote 0
                                        • S
                                          Scodezan
                                          last edited by

                                          Что мешает закрыть все порты кроме 53 и 80+443?

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            Angel_19
                                            last edited by

                                            Вроде для работы TOR используется клиент+браузер, а если запретить запуск клиента ТОРа с помощью групповых политик?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.