Tor Browser Bundle / Tor и IPTables: поиск рабочей настройки

я пытаюсь настроить политику для iptables для Тор и в особенности Тор браузер Бандл, то, видимо, редкая, судя по поискам в интернете, которые никогда не нашли меня iptable установки для tbb и чьи полным стандартным портам (носки, контроля, транс и DNS) не упоминаются. Многие iptables в конфигурациях, связанных с Тор-сложные, в основном во имя transproxying, здесь отходит на второй план. Типичный политик рабочего стола ТОР являются непригодными для адаптации.

моя забота, чтобы запустить ТББ с более плотной среды с минимальным набором правил, определяя его исключительно в iptables, и что-то я только нашел возможным путем указания ТОР порты (и который должен быть в любом случае возможно), чтобы изолировать DNS для ТББ, и убедитесь, что подключение производится без ущерба для изоляции (т. е. во избежание утечки DNS) и минимальных дополнительных транзитных пакетов. Это скорее вызов мобильного использования.

до сих пор я был в состоянии указать ТББ порты и DNS в файл torrc-файлах, после нескольких попыток смотреть заново определить значения по умолчанию, видимо, перерыв ТББ работы в целом (переназначенных портов не, причуда): ТББ теперь начнем с моей указанные порты без жалоб.

базовый iptables в политике, показанный здесь, состоит минимальных правил NAT для сопоставления DNS в ТОР ДНС порт и захоронения udp порту 9, (утилизировать в соответствии с /etc/услуги) фильтр соответствующим установленному правилу и три исходящие порты для Тор сам (петлевой разрешить и ICMP/IGMP в блоки одноразовые детали, насколько я знаю, а показаны). Я неясно, является ли Тора назначенные DNS порт должно быть указано (кроме нац редирект) - я видела, как это делается, но, учитывая невозможность в ином случае изолировать ТББ (например, жидкости), бы подумал, что это утечка риска. По тому, что мало информации я смог найти, маршруты Тор DNS через маршрутизацию лук и выполняет DNS в конце своего узла выхода: но разве это собственные DNS порт должен быть открыт в правилах фильтрации?

как видно в интернет -нвл отсчета, ТЗ, порты сами показывают, что пакеты исходящие, и после замыкания все пакеты сбрасываются в окончательной политика капля, добавленная в конце правил фильтрации.

мое первоначальное предположение было, что при отсутствии отдельной DNS и DHCP позволяет, то соединение просто умирает. Если я вернуться к политике clearnet с DNS и DHCP, разрешенных в фильтр, соединение должно быть перезапущен, чтобы восстановить доступ к сети на всех, предполагая, что это. Кроме того, если я -нвл политики clearnet, DNS и DHCP-порты можно увидеть на транзит нет данных, которые должны быть переживает вообще все-протоколом позволить, оказания DNS и DHCP бессмысленно для большинства общественных связей. Это проблематично в общем в мобильных условиях, где важно быть в состоянии контролировать (или вернуть) DNS-запросы от провайдеров, в плену порталы и т. д. Собственные журналы ТОР, как правило, показывают общие сервера socks неудаче, хотя это тоже непонятно мне, как Тор может зайти так далеко, если никакие пакеты не перемещается на носки, управления и транспорта.

я пробовал в том числе и udp в таблицу NAT и DNS редирект (без изменений), пропускает DHCP на входе и выходе фильтра правилам (без изменений), и в том числе назначены Тор ДНС порт (здесь 5353) в выходном фильтре правил (без изменений). Если восстановлена стандартная политика clearnet это, ТББ будет выполняться успешно и быстро решать чистую, указывая на то, что проблема наверняка была вызвана в iptables.

политика ТББ в iptables

*Нат :принимаю следующее [0:0] :ввод принимаю [0:0] :выходной принимаем [0:0] :POSTROUTING принимаем [4:240] -выход -п УДП -м по udp --dport 53 -J, его перенаправить-на-порты 9 -выход -п ТСР -м протокола TCP --dport 53 -J, его перенаправить-на-порты 5353 фиксации

[dиода d17]*фильтр :ввод падение [0:0] :прямое падение [0:0] :выход падение [0:0] -вход -ло -Джей принимает -входной сигнал -п в ICMP -J, его отклонения --отклонения-с ICMP-порт-недоступен ввод -п протокол IGMP -J, его отклонения --отклонения-с ICMP-порт-недоступен -вход -я как wlan0 -м трассировщика --ctstate новый -Джей принимает ввод -я как wlan0 -м трассировщика --ctstate обзоры,создан -Джей принимает -выходной -о-ло -Джей принимает -выходной -о как wlan0 -п ТСР -м ТСР-спорт 9251 -Джей принимает -выход -о как wlan0 -п ТСР -м ТСР-спорт 9250 -Джей устроил-вывода -о как wlan0 -п ТСР -м ТСР-спорт 9240 -Джей принимает -выход -Джей отклонения --отклонения-с ICMP-порт-недостижимый совершить[!dиода d17]

в iptables выход (-нвл)

входной цепи (падение политики 8 пакетов, 798 байт)[!цель д19] пкц байт прот опт в источник назначение 9514 534K принимать все -- ло * 0.0.0.0/0 0.0.0.0/0 0 0 отклонить протокол ICMP -- * * 0.0.0.0/0 0.0.0.0/0 отклонить-с ICMP-порт-недостижимый 0 0 отклонить 2 -- * * 0.0.0.0/0 0.0.0.0/0 отклонить-с ICMP-порт-недоступен 2 181 принять все ... как wlan0 * 0.0.0.0/0 0.0.0.0/0 ctstate новый 0 0 принять все ... как wlan0 * 0.0.0.0/0 0.0.0.0/0 ctstate обзоры,установленных[!цепь д34]

вперед (падение политика 0 пакетов, 0 байт)[!цель d36] пкц байт прот опт в источник назначение

выходной цепи (падение политика 0 пакетов, 0 байт) пкц байт целевой прот опт в источник назначение 9514 534K принять все ... * ло 0.0.0.0/0 0.0.0.0/0[и D40][!и D40] 0 0 принимать TCP -- * как wlan0 0.0.0.0/0 0.0.0.0/0 ПТС спт:9251 0 0 принимать TCP -- * как wlan0 0.0.0.0/0 0.0.0.0/0 ПТС спт:9250 0 0 принимать TCP -- * как wlan0 0.0.0.0/0 0.0.0.0/0 ПТС спт:9240 35 2300 отвергают все ... * * 0.0.0.0/0 0.0.0.0/0 отклонить-с ICMP-порт-недоступен

[размером d57]журнал Тор 1[!размером d57]

01/12/2018 12:06:17.600 [Примечание] DisableNetwork находится. ТОР не принять или принять не контролировать сетевые подключения. Отключаю все существующие подключения. 01/12/2018 12:06:17.600 [Примечание] переход на страже контексте "мосты" (использовал "по умолчанию") 01/12/2018 12:06:30.900 [Примечание] DisableNetwork находится. ТОР не принять или принять не контролировать сетевые подключения. Закрытие всех 01/12/2018 12:06:30.900 [внимание] открытие слушателя носки на 127.0.0.1:9250 01/12/2018 12:06:30.900 [внимание] открытие слушателя носки 127.0.0.1:9150 01/12/2018 12:06:30.900 [внимание] открытие слушателя DNS на 127.0.0.1:5353 01/12/2018 12:06:30.900 [внимание] открытие прозрачная ПФ/netfilter и слушателя на 127.0.0.1:9240 01/12/2018 12:06:32.800 [информация] Бутстрапированный 5%: подключение к серверу каталогов 01/12/2018 12:06:32.800 [информация] Бутстрапированный 10%: Производство рукопожатие с сервером каталогов 01/12/2018 12:06:34.000 [предупредить] прокси-клиент: не удается подключиться к 109.105.109.163:47779 ("общие носки ошибка сервера") 01/12/2018 12:06:34.000 [предупредить] прокси-клиента: не удается подключиться к 109.105.109.163:38980 ("общие носки ошибка сервера") 01/12/2018 12:06:34.000 [предупредить] прокси-клиент: не удается подключиться к 169.229.59.75:46328 ("общие носки ошибка сервера") 01/12/2018 12:06:34.000 [предупредить] прокси-клиент: не удается подключиться к 83.212.101.3:80 ("общие носки ошибка сервера") 01/12/2018 12:08:46.000 [Примечание] закрытия уже не настроен прозрачный ПФ/netfilter и слушателя на 127.0.0.1:9240 (закрытие и т. д.)

журнал Тор 2

01/12/2018 12:10:06.900 [Примечание] DisableNetwork находится. ТОР не принять или принять не контролировать сетевые подключения. Отключаю все существующие подключения. 01/12/2018 12:10:21.800 [внимание] открытие носки слушателя на 127.0.0.1:9250 01/12/2018 12:10:21.800 [внимание] открытие носочки слушателя на 127.0.0.1:9150 01/12/2018 12:10:21.800 [внимание] открытие ДНС слушателя на 127.0.0.1:5353[d64 с][!d64 с] 01/12/2018 12:10:21.800 [внимание] открытие прозрачная ПФ/netfilter и слушателя на 127.0.0.1:9240 01/12/2018 12:10:23.300 [информация] Бутстрапированный 5%: подключение к серверу каталогов 01/12/2018 12:10:23.300 [информация] Бутстрапированный 10%: Производство рукопожатие с сервером каталогов 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 85.31.186.26:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 37.218.245.14:38224 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 154.35.22.11:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 109.105.109.147:13764 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 109.105.109.165:10527 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 154.35.22.13:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 192.95.36.142:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 38.229.1.78:80 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 154.35.22.10:15937 ("общие носки ошибка сервера")[г70][!г70] 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 154.35.22.9:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 83.212.101.3:50002 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 85.17.30.79:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 192.99.11.54:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 38.229.33.83:80 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиента: не удается подключиться к 85.31.186.98:443 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 154.35.22.12:80 ("общие носки ошибка сервера") 01/12/2018 12:10:24.200 [предупредить] прокси-клиент: не удается подключиться к 37.218.240.34:40035 ("общие носки ошибка сервера") 01/12/2018 12:11:01.200 [Примечание] закрытия уже не настроен прозрачный ПФ/netfilter и слушателя на 127.0.0.1:9240 (закрытие и т. д.)