Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
sl:garantir_l_anonymat_des_connexions [2009/08/26 04:16] tmp3 |
— (Version actuelle) | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | Si l'on part sur l' | ||
- | |||
- | C'est aux utilisateur-trice-s de garantir leur propre anonymat (le plus possible a l' | ||
- | |||
- | Ca parait assez restrictif, surtout en pensant au fait qu'une connexion effectuée à travers TOR ralenti considérablement le débit. Ce n'est peut-être pas si gênant que ça pour la consultation sur un webmail, mais dans le cas d'un téléchargement de pièce jointe ça peut devenir vraiment handicapant... | ||
- | |||
- | |||
- | |||
- | ===== Recuperer a liste des IP sortantes de tor ===== | ||
- | Quelques liens pour lister les ip des noeuds sortants de tor | ||
- | * http:// | ||
- | * http:// | ||
- | * http:// | ||
- | * https:// | ||
- | * http:// | ||
- | * script Python pour extraire le répertoire Tor https:// | ||
- | Attention, il semble que certains noeuds tor n' | ||
- | |||
- | wget https:// | ||
- | |||
- | ou XXX est le nom du fichier qui contient le certificat. | ||
- | |||
- | |||
- | ===== Iptables/ | ||
- | L'idee est d' | ||
- | |||
- | ==== Faire fonctionner correctement le module ipt_recent (pour permettre plus de 100 entrees) ==== | ||
- | Dans un fichier quelconque du repertoire / | ||
- | |||
- | options ipt_recent ip_list_tot=10000 | ||
- | |||
- | ==== Regles iptables a ajouter ==== | ||
- | Pour bloquer les adresses non-tor sur le port 443 (https) : | ||
- | iptables -A INPUT -p tcp --dport 443 -m recent ! --rcheck --name tor -j DROP | ||
- | |||
- | La meme avec tous les ports dont on aura probablement besoin (au moins https, | ||
- | iptables -A INPUT -p tcp -m multiport --dports 443,993,995 -m recent ! --rcheck --name tor -j DROP | ||
- | |||
- | ==== Ajouter et mettre a jour les ip des noeuds tor a la liste ==== | ||
- | for i in $(cat Tor_ip_list_EXIT.csv) ; do echo $i > / | ||
- | |||
- | Pour ce qui est de la mise a jour de la liste, on peut vider la liste avec | ||
- | echo clear > / | ||
- | |||
- | Du coup ca peut valoir le coup d' | ||
- | |||
- | |||
- | |||
- | ===== Web lecture/ | ||
- | On pourrait mettre un wiki sur le port 443 (https) qui serait modifiable et accessible que par les personnes utilisant tor (donc pas de pb de stockage d'ip) et une copie statique de ce wiki sur le port 80 (http) qui serait accessible par tout le monde. Verifier qu'il n'est pas necessaire de loguer la seule lecture d'une pag web. | ||
- | |||
- | |||
- | ===== SSH ===== | ||
- | De meme, on pourrait filtrer le port 22 (ssh), mais laisser aussi ecouter ssh sur un port non standard qui ne serait pas filtre en cas de probleme avec la liste des noeuds de sortie tor. | ||