Маршрутизация всего трафика, кроме Tor, через соединение SSH

0

У меня настроен SSH-туннель (в Linux), и я хочу направить весь сетевой трафик через него, за исключением того, что у меня также работает Tor и я не хочу, чтобы трафик Tor проходил через SSH-туннель. Я могу направить весь трафик через туннель SSH с помощью redsocks (Я заставляю SSH запускать SOCKS прокси, запускаю redsocksи использовать iptables правило перенаправления всего трафика на redsocks, поэтому весь трафик идет через туннель).

Однако я не знаю, как заставить Tor избегать туннеля и устанавливать прямые соединения ... iptables имел обыкновение иметь --pid-owner вариант, который был бы идеальным для этого, но он был удален, потому что он не мог быть реализован должным образом.

Итак, каков лучший способ сделать это сейчас? (Туннельный подход SSH исправлен: я не могу переключиться на другой вид VPN.)

dgalgarret
источник

Ответы:

1
  • Бежать tor в той же системе вы работаете redsocks на.
  • Сделайте исключение для tor Носки порт 9050 в вашей удаленной системе - положить iptables правило выше, позволяющее это и т. д.
  • Скажите вашему браузеру подключиться к {IP-адресу удаленной системы}: 9050 для использования Tor вместо localhost.
  • Если вы также работаете privoxy локально, подумайте о запуске этого в удаленной системе тоже.

Другое дело - использовать другой прокси-сервер SOCKS, который позволяет перенаправлять определенные порты на другой локальный прокси-сервер. Я думаю squid позволяет тебе это сделать

LawrenceC
источник
Я думаю, что это позволит мне подключиться к моей локальной службе Tor, но когда клиент tor пытается подключиться к другим узлам Tor, этот трафик будет направляться через туннель SSH, не так ли? потому что мое правило iptables направляет весь трафик в redsocks. То, что я хочу сделать, это остановить это, позволяя tor подключаться напрямую к тому, что он хочет, и всему остальному проходить через ssh-туннель.
dgalgarret
Вы будете использовать Tor на другом конце туннеля SSH. Единственный другой способ - это следить за IP-адресом узлов Tor (это действительно сложно, так как теперь есть скрытые мосты) и разрешать их через iptables. Другая вещь - просто заставить ваш браузер использовать прокси redsocks.
LawrenceC
0

Опция iptables --uid-owner, часть -m owner матч, который может быть, поэтому у вас было так много проблем с его поиском.

Правило как это будет работать:

-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT

где 998 вместо UID тор. И где вы адаптируете его к существующему файерволу

Michael Hampton
источник