Ergebnis 1 bis 12 von 12

Thema: Gastzugang mit Tor und Privoxy?

  1. #1
    IPPF-Fan
    Registriert seit
    09.10.2009
    Ort
    Hannover
    Beiträge
    261

    Gastzugang mit Tor und Privoxy?

    Hi

    Mir ist gerade so die Idee gekommen, wie man aus dem Gastzugang einen "sicheren" freien Zugang bauen könnte, bei dem nicht mehr die Störerhaftung (oder wie sich das noch nennt) greift. Man könnte ja einfach den kompletten Gastzugang-Traffic über Tor routen. Für Freetz wären mit Tor und Privoxy (und iptables?) ja eigentlich alle nötigen Pakete da.
    Bevor ich wild drauf los probiere (und ich habe davon zumindest noch nicht viel Ahnung): Hat das schon mal jemand probiert? Und evtl. auch zum Laufen gebracht? Also transparenter Proxy, der den kompletten Traffic (ausnahmslos) vom Gastzugang über Tor routet, den Traffic des "internen" Netzes aber unangetastet lässt?
    Wenn ja: Wo gibt es Infos?
    Anschluss 1:
    Hardware: 1&1 Homeserver 50.000+/AVM Fritz!Box 7490; FW: 113.06.01; 1&1 Doppelflat 50.000
    Down/Up: 51.392/10.048 kbit/s (Kapazität 82.953/19.133, real 50.000/10.000); SNR: 12/9 dB; Dämpfung: 9/2 dB; Latenz 8ms/6ms; Bitswap: an/an; 0 FEC/min; 0 CRC/min;
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset sx100 isdn", Anbindung via DECT an die Fritz!Box

    Anschluss 2:
    Hardware: AVM Fritz!Box 7390 EWE Edition; FW: 84.05.51; EWE Trio VDSL (beinhaltet EWE DSL Mega Plus 35.000) + 2. Telefonleitung
    Down/Up: 39.408/3.144 kbit/s (Kapazität 40.724/4.27; SNR: 10dB/9dB; Dämpfung: 18/3 dB; Latenz: fast/fast; Bitswap: an/an; ~800-900 FEC/min, ~3 CRC/min
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset s100", Anbindung via DECT an die Fritz!Box

  2. #2
    IPPF-Fünftausend-VIP Avatar von sf3978
    Registriert seit
    02.12.2007
    Beiträge
    7.040
    Zitat Zitat von cuco88 Beitrag anzeigen
    Bevor ich wild drauf los probiere (und ich habe davon zumindest noch nicht viel Ahnung): Hat das schon mal jemand probiert? Und evtl. auch zum Laufen gebracht? Also transparenter Proxy, der den kompletten Traffic (ausnahmslos) vom Gastzugang über Tor routet, den Traffic des "internen" Netzes aber unangetastet lässt?
    Es geht auch ohne Tor und privoxy auf der Box. Es wird nur der dropbear (d. h. ein ssh-Client) und ein kostenloser shell-account, der seinen ausgehenden Traffic durch das Tor-Netzwerk leitet benötigt. Z. B.:
    Code:
    Outgoing TCP connections are allowed and are proxied through the Tor network.
    In der Box wird ein socks-proxy mit der Gast-Zugang-IP-Adresse eingetragen. Z. B.:
    Code:
    ssh -f -n -N -D 192.168.179.1:54321 -oPort=443 <shell-user>@<shell-account.xyz.net>
    Mit iptables in der PREROUTING chain für dport 80 ein DNAT (oder REDIRECT) auf 192.168.179.1:54321 machen. Den restlichen Ausgang/Durchgang (FORWARD chain) mit iptables blocken. Mit "www.wieistmeineip.de/" testen.

  3. #3
    IPPF-Fan
    Registriert seit
    09.10.2009
    Ort
    Hannover
    Beiträge
    261
    Ich habe jetzt mal ein freetz-Image erstellt, das sowohl privoxy und Tor enthält, als auch Dropbear und OpenSSH. Zum Testen. Leider kann ich keinen der Services starten. Dropbear, Privoxy und Tor geben beim Start nur die tolle Meldung "failed" aus. OpenSSH meckert, dass ich doch bitte die keyutils mit einbinden solle, damit es die nötigen Schlüssel erstellen kann und startet dann auch nicht. Die keyutils sind aber mit eingebunden...

    Ich bin noch Anfänger, was freetz angeht - habe ich irgendwo einen ganz wichtigen Punkt übersehen?

    Ach ja, Router: Fritz!Box 7390 international (Australia Edition), Firmware 84.05.22, Freetz-Trunk.
    Anschluss 1:
    Hardware: 1&1 Homeserver 50.000+/AVM Fritz!Box 7490; FW: 113.06.01; 1&1 Doppelflat 50.000
    Down/Up: 51.392/10.048 kbit/s (Kapazität 82.953/19.133, real 50.000/10.000); SNR: 12/9 dB; Dämpfung: 9/2 dB; Latenz 8ms/6ms; Bitswap: an/an; 0 FEC/min; 0 CRC/min;
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset sx100 isdn", Anbindung via DECT an die Fritz!Box

    Anschluss 2:
    Hardware: AVM Fritz!Box 7390 EWE Edition; FW: 84.05.51; EWE Trio VDSL (beinhaltet EWE DSL Mega Plus 35.000) + 2. Telefonleitung
    Down/Up: 39.408/3.144 kbit/s (Kapazität 40.724/4.27; SNR: 10dB/9dB; Dämpfung: 18/3 dB; Latenz: fast/fast; Bitswap: an/an; ~800-900 FEC/min, ~3 CRC/min
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset s100", Anbindung via DECT an die Fritz!Box

  4. #4
    IPPF-Fünftausend-VIP Avatar von sf3978
    Registriert seit
    02.12.2007
    Beiträge
    7.040
    Zitat Zitat von cuco88 Beitrag anzeigen
    Ich habe jetzt mal ein freetz-Image erstellt, das sowohl privoxy und Tor enthält, als auch Dropbear und OpenSSH.
    Warum dropbear _und_ OpenSSH? Du brauchst nicht beide. Und wenn Du es mit privoxy und Tor auf deiner Box machen willst, dann brauchst Du weder dropbear noch OpenSSH (als ssh-client).
    Zitat Zitat von cuco88 Beitrag anzeigen
    Zum Testen. Leider kann ich keinen der Services starten. Dropbear, Privoxy und Tor geben beim Start nur die tolle Meldung "failed" aus. OpenSSH meckert, dass ich doch bitte die keyutils mit einbinden solle, damit es die nötigen Schlüssel erstellen kann und startet dann auch nicht. Die keyutils sind aber mit eingebunden...
    Und wenn Du es mit einem externen shell-Account machen willst, dann brauchst Du nur den ssh-Client. Warum willst Du dann einen sshd-Server (dropbear oder OpenSSH) auf deiner Box starten?

  5. #5
    IPPF-Fan
    Registriert seit
    23.08.2008
    Beiträge
    308
    Auf der 7270 habe ich vor längerer Zeit beide Pakete von Hand gestartet. Das hat mit der Polipo-Konfiguration unten auch funktioniert.
    Code:
    ./tor &
    ./polipo -c polipo.cfg &
    Bzgl. des Gast-Wlans und IPTABLES würde ich gerne die folgenden Regeln zur Diskussion stellen. ( Man möchte ja dazulernen )
    Mit den Regeln sollen alle Anfragen, die nicht Port80 zum Ziel haben, abgewiesen werden. Alle Anfragen an Port80 sollen an den Polipo-Proxy-Port8118 weitergeleitet werden.

    Code:
    iptables -A INPUT -s 192.168.0.0/24 -p all -i guest -- ! --dport 80 -j REJECT
    iptables -t nat -A PREROUTING -p all -i guest --dport 80 -j REDIRECT --to 8118
    polipo.cfg:
    Code:
    proxyAddress = "0.0.0.0"
    proxyPort = 8118
    
    allowedClients = 192.168.0.0/24
    allowedPorts = 1-65535
    
    
    proxyName = "localhost"
    
    # Uncomment this if there's only one user using this instance of Polipo:
    
    cacheIsShared = false
    
    
    socksParentProxy = "localhost:9050"
    socksProxyType = socks5
    
    
    chunkHighMark = 67108864
    
    
    diskCacheRoot = ""
    
    
    localDocumentRoot = ""
    
    
    disableLocalInterface = true
    disableConfiguration = true
    
    dnsUseGethostbyname = yes
    disableVia = true
    
    censoredHeaders = from,accept-language,x-pad,link
    censorReferer = maybe
    
    maxConnectionAge = 5m
    maxConnectionRequests = 120
    serverMaxSlots = 8
    serverSlots = 2
    tunnelAllowedPorts = 1-65535
    Spülkasten: Geberit UP200

  6. #6
    IPPF-Fünftausend-VIP Avatar von sf3978
    Registriert seit
    02.12.2007
    Beiträge
    7.040
    Zitat Zitat von princenewton007 Beitrag anzeigen
    Mit den Regeln sollen alle Anfragen, die nicht Port80 zum Ziel haben, abgewiesen werden. Alle Anfragen an Port80 sollen an den Polipo-Proxy-Port8118 weitergeleitet werden.
    Code:
    iptables -A INPUT -s 192.168.0.0/24 -p all -i guest -- ! --dport 80 -j REJECT
    Du meinst doch Port 80 im Internet und nicht Port 80 auf der Box, oder? Wenn ja, dann ist die FORWARD chain zuständig und nicht die INPUT chain.

  7. #7
    IPPF-Fan
    Registriert seit
    09.10.2009
    Ort
    Hannover
    Beiträge
    261
    Zitat Zitat von sf3978 Beitrag anzeigen
    Warum dropbear _und_ OpenSSH? Du brauchst nicht beide. Und wenn Du es mit privoxy und Tor auf deiner Box machen willst, dann brauchst Du weder dropbear noch OpenSSH (als ssh-client).

    Und wenn Du es mit einem externen shell-Account machen willst, dann brauchst Du nur den ssh-Client. Warum willst Du dann einen sshd-Server (dropbear oder OpenSSH) auf deiner Box starten?
    Hi

    Wie gesagt, das war einfach mal zum Testen. Wollte mir die Möglichkeiten mal anschauen, hab mit Freetz vorher noch nie gearbeitet. So lange ich keinen Dienst starten kann, ist es aber ja relativ egal, WELCHEN Dienst ich installiert habe

    Inzwischen habe ich rausgefunden (via Telnet die Befehle mal selbst ausgeführt) dass zwar alle Binaries verlinkt werden, aber beim Aufruf die Meldung erscheint, dass sie nicht gefunden worden sind. Dabei hab ich dann weiter probiert und festgestellt, dass genau DIE Dienste nicht gehen, die ich nach extern verlagert habe. Gefunden werden sie - wenn man den USB-Stick nicht dran hat, bietet Freetz die Dienste ja gar nicht an. Aber ausführen geht nicht. Alle Dienste, die nicht ausgelagert sind, funktionieren dagegen. Und sobald ich einen Dienst von extern nach intern verlagere, scheint er plötzlich zu gehen. Nur ist der Flashspeicher der Box ja nun nicht gerade in großen Teilen frei Wie bekomme ich also Dienste im external zum Laufen bzw. warum laufen sie nicht?
    Geändert von cuco88 (14.05.2012 um 12:55 Uhr)
    Anschluss 1:
    Hardware: 1&1 Homeserver 50.000+/AVM Fritz!Box 7490; FW: 113.06.01; 1&1 Doppelflat 50.000
    Down/Up: 51.392/10.048 kbit/s (Kapazität 82.953/19.133, real 50.000/10.000); SNR: 12/9 dB; Dämpfung: 9/2 dB; Latenz 8ms/6ms; Bitswap: an/an; 0 FEC/min; 0 CRC/min;
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset sx100 isdn", Anbindung via DECT an die Fritz!Box

    Anschluss 2:
    Hardware: AVM Fritz!Box 7390 EWE Edition; FW: 84.05.51; EWE Trio VDSL (beinhaltet EWE DSL Mega Plus 35.000) + 2. Telefonleitung
    Down/Up: 39.408/3.144 kbit/s (Kapazität 40.724/4.27; SNR: 10dB/9dB; Dämpfung: 18/3 dB; Latenz: fast/fast; Bitswap: an/an; ~800-900 FEC/min, ~3 CRC/min
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset s100", Anbindung via DECT an die Fritz!Box

  8. #8
    IPPF-Fan
    Registriert seit
    23.08.2008
    Beiträge
    308
    @sf3978: Danke, ja Port 80 extern ist gemeint.
    @cuco88: Das "External"-Problem hatte ich mit dem Trunk9000 mit dem MiniDLNA-Paket ebenfalls beobachtet.
    Spülkasten: Geberit UP200

  9. #9
    IPPF-Fan
    Registriert seit
    09.10.2009
    Ort
    Hannover
    Beiträge
    261
    Hast du das Problem irgendwie umgehen können? Oder so lange gepuzzelt, bis alles, was du wolltest, in den Flash passte? Ich kann es mit OpenSSH, Dropbear, Tor und Privoxy reproduzieren - also alle Pakete, mit denen ich es ausprobiert habe ^^
    Anschluss 1:
    Hardware: 1&1 Homeserver 50.000+/AVM Fritz!Box 7490; FW: 113.06.01; 1&1 Doppelflat 50.000
    Down/Up: 51.392/10.048 kbit/s (Kapazität 82.953/19.133, real 50.000/10.000); SNR: 12/9 dB; Dämpfung: 9/2 dB; Latenz 8ms/6ms; Bitswap: an/an; 0 FEC/min; 0 CRC/min;
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset sx100 isdn", Anbindung via DECT an die Fritz!Box

    Anschluss 2:
    Hardware: AVM Fritz!Box 7390 EWE Edition; FW: 84.05.51; EWE Trio VDSL (beinhaltet EWE DSL Mega Plus 35.000) + 2. Telefonleitung
    Down/Up: 39.408/3.144 kbit/s (Kapazität 40.724/4.27; SNR: 10dB/9dB; Dämpfung: 18/3 dB; Latenz: fast/fast; Bitswap: an/an; ~800-900 FEC/min, ~3 CRC/min
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset s100", Anbindung via DECT an die Fritz!Box

  10. #10
    IPPF-Fünftausend-VIP Avatar von sf3978
    Registriert seit
    02.12.2007
    Beiträge
    7.040
    Zitat Zitat von cuco88 Beitrag anzeigen
    Ich kann es mit OpenSSH, Dropbear, Tor und Privoxy reproduzieren - ...
    Evtl. kannst Du, nicht benötigte Funktionen/Dienste mit Freetz removen. Und/oder binaries (only) ohne die external-Funktion aus Freetz, auf den Stick auslagern. D. h., die binaries (only) nicht in das Freetz-Image aufnehmen, sondern mit make <binary>-precompiled kompilieren. Symlinks zu diesen binaries kannst Du im Build-System erstellen und ins Freetz-Image aufnehmen. Ich mache das auch so, und es funktioniert.

  11. #11
    IPPF-Fan
    Registriert seit
    09.10.2009
    Ort
    Hannover
    Beiträge
    261
    *hust* für einen Freetz-Neuling wie mich klingt das nach: ok, ich räume doch lieber den Flash frei Sorry, aber das ist leider für mich noch eine Stufe zu hoch, da muss ich glaube ich erst mehr Erfahrung sammeln. Wie groß ist denn die Wahrscheinlichkeit, dass external mit kommenden Freetz-Versionen (wieder?) geht?
    Anschluss 1:
    Hardware: 1&1 Homeserver 50.000+/AVM Fritz!Box 7490; FW: 113.06.01; 1&1 Doppelflat 50.000
    Down/Up: 51.392/10.048 kbit/s (Kapazität 82.953/19.133, real 50.000/10.000); SNR: 12/9 dB; Dämpfung: 9/2 dB; Latenz 8ms/6ms; Bitswap: an/an; 0 FEC/min; 0 CRC/min;
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset sx100 isdn", Anbindung via DECT an die Fritz!Box

    Anschluss 2:
    Hardware: AVM Fritz!Box 7390 EWE Edition; FW: 84.05.51; EWE Trio VDSL (beinhaltet EWE DSL Mega Plus 35.000) + 2. Telefonleitung
    Down/Up: 39.408/3.144 kbit/s (Kapazität 40.724/4.27; SNR: 10dB/9dB; Dämpfung: 18/3 dB; Latenz: fast/fast; Bitswap: an/an; ~800-900 FEC/min, ~3 CRC/min
    Telefon: Siemens "Gigaset S1 colour" vom "Gigaset s100", Anbindung via DECT an die Fritz!Box

  12. #12
    IPPF-Fan
    Registriert seit
    23.08.2008
    Beiträge
    308
    Die Fw habe ich nur zu Testzwecken gebaut und dafür Platz geschaffen.
    Bzgl. External habe ich mal ein Ticket eröffnet.
    Spülkasten: Geberit UP200

Ähnliche Themen

  1. Privoxy
    Von mrtsunami im Forum Freetz
    Antworten: 8
    Letzter Beitrag: 21.09.2010, 16:23
  2. Privoxy bug
    Von lewej im Forum Freetz
    Antworten: 3
    Letzter Beitrag: 23.07.2009, 05:26
  3. Privoxy + AVM Kindersicherung
    Von helpy im Forum FRITZ!Box Fon: Modifikationen
    Antworten: 8
    Letzter Beitrag: 19.03.2009, 14:19
  4. Privoxy 3.0.8
    Von capt_bluebaer im Forum Freetz
    Antworten: 1
    Letzter Beitrag: 15.06.2008, 22:50
  5. Privoxy
    Von sox666 im Forum FRITZ!Box Fon: Modifikationen
    Antworten: 1
    Letzter Beitrag: 16.03.2007, 16:19

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •