Самостоятельный аудит iptables - проверяем дыры в фаерволлах.
Поделюсь краткой инструцией проверки правильности настроек прозрачной проксификации - актуально в первую очередь для тех, у кого весь трафик машины запущен через тор. При такой схеме все без исключения пакеты (ну не вот прямо все, имеются в виду все пакеты протокола tcp, так как кроме них есть еще например ARP пакеты, пакеты которыми обмениваются адаптер с точкой в процессе работы, те же EAPOL keys и т.п.) должны идти строго через тор. А если точнее - то через входной узел цепи тора - сторожевой или мостовой узел. Для аудита нужно установить два анализатора трафика:
Код: sudo apt update && sudo apt install -y iptraf-ng tcpdump
после того как пакеты установятся нужно узнать имя интерфейса, через который вы выходите в сеть. Для этого нужно правой кнопкой кликнуть на иконке соединения на панели задач и выбрать опцию Connection information, после чего посмотреть на конец строки Interface:
^ В моем случае интерфейс называется wlan0.
После чего открываем два терминала и исполняем в них команды. В первом:
Код: sudo iptraf-ng -d zzz0
где:
zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
Во втором:
Код: sudo tcpdump -i zzz0 not arp and not host xxx.xxx.xxx.xxх -vv
где:
где zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
xxx.xxx.xxx.xxх - это IP адрес входной ноды - его можно посмотреть в onioncircuits (справа верхняя нода). правда если подключаться к мосту там будет написано unknown - так что айпишку нужно смотреть в torrc по отпечатку узла (Fingerprint).
Если все настроено правильно - то в iptraf-ng все пакеты должны быть TCP/IPv4, а в дампе tcpdump не должно быть захваченных пакетов - тупо две строки запуска анализатора:
Слева сверху iptraf-ng, слева снизу tcpdump.
Поделюсь краткой инструцией проверки правильности настроек прозрачной проксификации - актуально в первую очередь для тех, у кого весь трафик машины запущен через тор. При такой схеме все без исключения пакеты (ну не вот прямо все, имеются в виду все пакеты протокола tcp, так как кроме них есть еще например ARP пакеты, пакеты которыми обмениваются адаптер с точкой в процессе работы, те же EAPOL keys и т.п.) должны идти строго через тор. А если точнее - то через входной узел цепи тора - сторожевой или мостовой узел. Для аудита нужно установить два анализатора трафика:
Код: sudo apt update && sudo apt install -y iptraf-ng tcpdump
после того как пакеты установятся нужно узнать имя интерфейса, через который вы выходите в сеть. Для этого нужно правой кнопкой кликнуть на иконке соединения на панели задач и выбрать опцию Connection information, после чего посмотреть на конец строки Interface:
^ В моем случае интерфейс называется wlan0.
После чего открываем два терминала и исполняем в них команды. В первом:
Код: sudo iptraf-ng -d zzz0
где:
zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
Во втором:
Код: sudo tcpdump -i zzz0 not arp and not host xxx.xxx.xxx.xxх -vv
где:
где zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
xxx.xxx.xxx.xxх - это IP адрес входной ноды - его можно посмотреть в onioncircuits (справа верхняя нода). правда если подключаться к мосту там будет написано unknown - так что айпишку нужно смотреть в torrc по отпечатку узла (Fingerprint).
Если все настроено правильно - то в iptraf-ng все пакеты должны быть TCP/IPv4, а в дампе tcpdump не должно быть захваченных пакетов - тупо две строки запуска анализатора:
Слева сверху iptraf-ng, слева снизу tcpdump.
