Pfsense vs TOR browser



  • Долго читаю интернет на предмет того как заблокировать TOR browser. Ничего путного  не нахожу.
    А задача вот-вот будет поставлена.

    Что скажут многоуважаемые гуру? Как с помощью pfsense заблокировать ТОР браузер? Небольшие административные усилия допускаются.

    Читал, что если раздобыть список TOR серверов, то тогда их уже можно внести в правила, ни ведь и списка такого тоже нет.



  • Попробуйте поискать информацию о сигнатурах пакетов тора. Тогда есть вариант использовать их в L7 Layer



  • dvserg, А как другие-то блокируют ТОР?
    Ведь наверняка задача типовая!



  • http://forums.untangle.com/application-control-lite/15101-detect-use-tor.html

    Detecting is easy.
    Enable log TLS in Protocol Control. If you see lot new connections in the same time on ports different than 443 and 995 (google) it is TOR



  • Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.



  • @deem73:

    Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

    Firewall: Traffic Shaper: Layer7 .

    Далее создавайте правило в fw с Action: Block  , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
    И , ес-но, правило должно стоять по списку выше разрешающих .

    P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
    В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.php




  • А тор изначально присутствовал в леере? Что-то я проглядел мимо.



  • @dvserg:

    А тор изначально присутствовал в леере? Что-то я проглядел мимо.

    Ну , если tor - это TOR , тогда - да. ;D



  • @dvserg:

    А тор изначально присутствовал в леере? Что-то я проглядел мимо.

    В 2.0.2 tor присутствует.

    Попытался на основании этих рекомендаций заблокировать bittorrent.

    pfSense отказался сохранять блокирующее правило:

    The following input errors were detected:

    You can only select a layer7 container for Pass type rules.



  • Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.



  • @dvserg:

    Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

    Хмм, у меня не блокирует :(
    Правило Pass в fw, пытался dns заблочить. Стоит самым первым. Если не трудно - проверьте у себя, пож-та.



  • Гугл 1 ссылка с примером
    http://small-town-nobody.blogspot.ru/2012/05/pfsense.html



  • @dvserg:

    Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

    В свое время блокировал так соц-сети. Паттерн для них пробегал в форуме.
    Именно - повесил Layer 7 на основное правило(pass)  доступа Lan в интернет, все работало.
    Попробовал счас со встроенным в 2.0.2 паттерном для bittorrent - никакой реакции.

    Да, именно по ссылке выше.



  • Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?



  • @werter:

    Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?

    Создавал и Floating, и Lan - торренты пролазят все равно.



  • @werter:

    @deem73:

    Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

    Firewall: Traffic Shaper: Layer7 .

    Далее создавайте правило в fw с Action: Block  , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
    И , ес-но, правило должно стоять по списку выше разрешающих .

    P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
    В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.php

    Что-то не действует это правило. TOR браузер загрузился, запретные сайты всё равно открываются.




  • На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
    Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.



  • @werter:

    На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
    Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.

    Ну и наблюдаем рабочий Tor т.к для связи он первым делом пробует 80 tcp, 443 tcp, появился у нас один такой умник, не знаю что с ним делать….
    Список IP адресов сетей Tor можно получить тут http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv

    В начале пробовал задать обновляемый ACL в squid

    ########################################
    acl TORLIST dst "/var/squid/acl/TorIP.list"
    http_access deny TORLIST
    acl CTORLIST dst "/var/squid/acl/CTorIP.list" # Custom
    http_access deny CTORLIST
    ########################################

    В скупе со скриптом

    ########################################

    #!/bin/sh

    TOR server list

    cd /var/squid/acl
    fetch http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
    sort -u Tor_ip_list_ALL.csv > TorIP.list
    rm Tor_ip_list_ALL.csv
    /opt/qlproxy/bin/restart.sh

    ########################################

    Но потом понял что стормозил, squid у меня в режиме transparent, и ни какого трафика кроме как на портах 80, 443 заблокировать через этот ACL не сможет, нужно iptables…

    Предлагаю обсудить как автоматизировать этот процесс  в скупе с iptables, думаю не мы одни с такой проблемой.



  • Что мешает закрыть все порты кроме 53 и 80+443?



  • Вроде для работы TOR используется клиент+браузер, а если запретить запуск клиента ТОРа с помощью групповых политик?



  • 2 Lexus34
    Закройте 443\TCP во вне. Разрешайте только избранным из\вне.

    https://forum.pfsense.org/index.php?topic=73508.0