Как организовать Linux шлюз для интернета, что бы трафик локальной сети шел через tor. Возможные пути решения, мануалы?

Question

[Ob1van]

Доброго времени.
Как организовать Linux шлюз для интернета, что бы трафик локальной сети (машин 10-20 - win, linux, osx) шёл через tor. Возможные пути решения, схемы, ссылки на мануалы?
Интересует решение желательно на Debian или Ubuntu
Из локальной сети трафик 53, 80, 8080, 443, 20, 21 должен идти через тор (обязательно чтобы не светился DNS).
С уважением!

Comments

[riot26]

почитай про whonix

[Ob1van]

riot26: Благодарю, обязательно почитаю)

[Ob1van]

riot26: только меня интересует не одна защищенная система, а шлюз для локалки на несколько машин....)

[riot26]

Иван Дюкарев: ну, там одна виртуалка работает как шлюз для второй. Может где-то в деталях есть как это сделано.

Answer 1

[Fixid]

Вижу два простых решения:
Выбираем машину для прокси
1) Ставим tor с офф сайта, после запуска автоматически будет доступен прокси 127.0.0.1:8090
дальше через iptables форвардим все входящие запросы на этот локальный сервер.
Это был самый простой вариант
2) Улучшаем: ставим pfsense (можно в виртуалку, ресурсы не жрет), указываем два gateway: 127.0.0.1:8090 (tor) и 192.168.0.1 (обычный роутер с инетом). Потом через iptables и alias в админке указываем правила форварда трафика. На DHCP сервере в качестве gateway указываем pfsense.

Теперь клиенты будут идти через pfsense, который в зависимости от правил будет проксировать через локальный tor или будет перенаправлять на роутер. Можно практически неограниченно улучшать: контролировать и маскировать трафик, добавить кэш сервер (реально ускорить работу через tor), делать шаблоны для каждого пользователя и т.д. Все это делается очень просто, мануалы на русском, за 3-4 часа можно все настроить

Comments

[Error 502]

а разве можно указывать gateway вместе с портом? допустим если я смотрю потоковое видео, которое идет через udp, он будет проксироваться через tor-сеть?

[Fixid]

Error 502: при желании да, точнее указываем gateway для данного типа трафика с определенного порта и направления

[Ob1van]

Fixid, благодарю за развернутый ответ, очень понравилось Ваше решение. Единственный вопрос - возможно ли еще организовать прозрачное проксирование, что бы у клиентов не вести никаких настроек, или это так и будет? Еще раз благодарю за участие!!!

[Fixid]

Иван Дюкарев: Естественно: SQUID плагин

[Fixid]

Иван Дюкарев: Хотя и так ничего не надо, кроме настройки DHCP что указать новый шлюз

[Ob1van]

Fixid:Спасибо, понял)

[Ob1van]

Fixid: Простите, а Вы бы не могли написать как прописать "через iptables форвардим все входящие запросы на этот локальный сервер" 127.0.0.1:8090 Например у нас основная карта смотрит в инет 10.100.77.2 и вторая в локалку 10.100.88.1, как будет выглядеть правило? Замучал Вас уже наверное)

[Fixid]

Иван Дюкарев: вначале создать два Interfaces с соответствующими upstream (будет LAN, WAN,TOR):
WAN c IPv4 Upstream Gateway 10.100.77.2 и TOR c IPv4 Upstream Gateway 127.0.0.1:8090.
Потом в Firewall - rules и alias задаете правила, там все просто

[Fixid]

Иван Дюкарев: Подробно писать очень долго и много, все есть в инете. Для начала изучите load balance на два wan, это ваш случай. Один обычный шлюз, второй tor

[Ob1van]

Fixid: И на этом огромное благодарю за подсказки) Не люнексоид в общем, а задачу решить нужно)

Answer 2

[Владимир Грабко]

Только когда поднимете этот прокси обезательно разрешите обмен трафиком. А то в основном люди берут, а в замен не чего не дают...