Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
duesentriebchen schrieb: . . .
Ich würde eine Whitelist für MAC-Addressen führen. Hostapd kann das und mach ein Passwort mit 63 Stellen. Artikel dazu im Wiki.
. . .
Dazu habe ich versucht, mich schlau zu machen (und auch den Abschnitt zu hostapd in kernel.wireless.org gelesen). Was mir klar ist, wie man die Kontrolle der Mac-Adressen einschaltet. Unklar ist mir dagegen, wo und wie die Whitelist von hostapd geführt wird (?).
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11260
Wohnort: München
|
Farinet schrieb: Da habe ich versucht mich schlau zu machen und die ganze Anleitung in wireless.kernel.org durchgelesen. Mir bleibt jedoch unklar, wo und wie hostapd die Liste der erlaubten Mac-Adressen führt?
Du gibst in deiner Konfigurationsdatei für hostapd eine Datei an, in der die erlaubten MAC-Adressen stehen - z.B. um nur Clients die in der Liste stehen den Zugriff zu erlauben:
# Station MAC address -based authentication
# Please note that this kind of access control requires a driver that uses
# hostapd to take care of management frame processing and as such, this can be
# used with driver=hostap or driver=nl80211, but not with driver=madwifi.
# 0 = accept unless in deny list
# 1 = deny unless in accept list
# 2 = use external RADIUS server (accept/deny lists are searched first)
macaddr_acl=1
# Accept/deny lists are read from separate files (containing list of
# MAC addresses, one per line). Use absolute path name to make sure that the
# files can be read on SIGHUP configuration reloads.
accept_mac_file=/etc/hostapd/accept
#deny_mac_file=/etc/hostapd/deny #/etc/hostapd/accept
00:0d:4b:23:01:6a
00:21:6b:89:28:b2
00:11:95:89:1f:50
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
duesentriebchen schrieb:
... Ich würde eine Whitelist für MAC-Addressen führen. Hostapd kann das und mach ein Passwort mit 63 Stellen. Artikel dazu im Wiki.
Hallo, das kann man machen, für die Sicherheit bringt das letztendlich jedoch gar nichts, da MAC-Adressen unverschlüsselt übertragen werden und ganz einfach kopiert werden können.
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
Super, alles klar in diesem Punkt. Vielen Dank!
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
duesentriebchen schrieb: Farinet Poste mal bitte vom pi die Ausgabe von
cat /etc/NetworkManager/NetworkManager.conf
Oh, das habe ich vergessen. Auf dem raspberry existiert NetworkManager.conf nicht.
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
@ Farinet beachte meine beiden letzten beiden Beiträge!
|
duesentriebchen
Anmeldungsdatum: 10. Februar 2012
Beiträge: 713
Wohnort: Im Inntal
|
Jetzt kommt Leben in´s Thema 😀 1.) elektronenblitz63 schrieb: Hallo, ich habe mir jetzt ebenfalls einen Pi zugelegt. Hier läuft das Ganze nun bereits grundsätzlich so wie ich mir das vorgestellt habe, es gibt aber noch einiges zu testen, die Konfiguration ist nur rudimentär, außerdem soll es noch ein DNS-Leck geben, was es zu stopfen gilt. DSL - Router – LAN – Pi [WLAN-AP über hostapd → Squid (transparent) → Privoxy → Tor] ~~~ WLAN ~~~ Clients Auf den Clients muss ich nichts konfigurieren, da Squid ja als transparenter Proxy läuft. Stoppe ich auf dem Pi einen der Dienste, Squid Privoxy oder Tor, so habe ich auf den Clients keine Internetverbindung mehr. http://www.ipchicken.com/ zeigt mir auch wechselnde Adressen aus dem Tor-Netzwerk an.
Die Konfiguration, zumindest wie du das oben beschrieben hast, kann ich nicht nachvollziehen, bzw so kann´s eigentlich nicht funktionieren. Wenn dann -ich nehme an, du hast das auch so konfiguriert nur in der Eile anderst "aufgezeichnet"- so. Der Weg vom Client ins I-Net. Client WLAN – PI [hostapd → Squid (Transparent) → Privoxy (Transparent/Intercepting) → TOR (Transparent) ] – DSL Router Weill dnsmasq auf diesem interface auf Anfragen wartet. Sieh dir auf Ubuntu 12.04 mal den Output von ...
Hier läuft dnsmasq ausschließlich als DHCP-Server und lauscht auf der WLAN-Schnittstelle. Unter Raspian ist dnsmasq-base standardmäßig nicht installiert, so wie unter Ubuntu!
Richtig. Nur in der Konfiguration dieses Threads, ist er installiert. Konfiguration folgt, sofern gewünscht.
Bitte, gerne. Wäre sehr interessant 👍 2.) Hans9876543210 schrieb: Hi, ich muss noch mal nachfragen weil ich das nicht so ganz verstehe 😐
Wieso muss man eigentlich das Loopback Interface angeben?
Weill dnsmasq auf diesem interface auf Anfragen wartet. Sieh dir auf Ubuntu 12.04 mal den Output von cat /etc/resolv.conf an.
Siehe Dnsmasq (Abschnitt „Verwendung-des-Cache“). Also sofern in der resolv.conf schon als nameserver 127.0.0.1 gesetzt wurde, braucht man keine weitere Angabe in dnsmasq.
Richtig. Aber ich gebe es nochmal explizit an 😀 2. Wieso hast du eigentlich bei der eth0 Schnittstelle DHCP wieder weggenommen? Das würde ja nur dann Sinn machen, wenn du eth0 vorher erlaubt hättest, aber jetzt den DNS nur haben willst.
Weil du, angenommen eth0 ist deine WAN Schnittstelle, nicht möchtest, daß dnsmasq auf Verbindungen aus dem Internet lauscht 😀 Lesen
Laut hier ist die Angabe von eth0 überhaupt nicht erforderlich, eben weil dnsmasq hier nicht lauscht. Es sei denn, du gibst es explizit an, dann würde no-dhcp wieder Sinn machen.
Richtig. Aber ich gebe es nochmal explizit an. Sorry für die dummen Nachfragen, aber ich wills halt verstehen. Danke! ☺
Das sind keine blöden Fragen, ganz im Gegenteil 👍 3.)
Farinet schrieb: duesentriebchen
...
Farinet schrieb: ...
- Ich habe noch etwas Kurioses bemerkt: Die Macs haben mit der EasyBox nur dann kommunizieren können, wenn ich auf ihnen das Netz (TCP/IP etc.) manuell konfiguriere. Mit der Himbeere sprechen sie dagegen nur per automatisch (??). Sollte aber kein grosses Problem sein, Hauptsache, es läuft.
Bitte definier das etwas genauer...
Also: Wenn ich Macs (und iPhones, ich weiss, ich weiss, aber mach' was gegen die "Jugend" ... 😉 ) für den den Internetzugang ohne raspberry einrichte, dann muss ich das Netzwerk per manuell konfigurieren, und zwar so: Ich teile den devices IP-Adressen fix zu, definiere die Netzwerkmaske und muss auch DNS-Server sowie Gateway per Ip-Adresse genau eingeben.
(Das trifft nicht zu für Linux oder Android Devices, die konfigurieren sich automatisch). Für den Zugang zum Internet via raspberry funktioniert dagegen (iPhone - iOs also - habe ich noch nicht probiert) die automatische Konfiguration (da muss nur das Gateway angegeben werden).
Am Endgerät oder am PI?
- Melde mich hiermit also für die Transparente Torbox. . . .
Die Links hast du in diesem Thread schon, um das erfolgreich umzusetzen. Vergiss in den iptables rules nicht, deinen SSH Port mit dem Interface freizugeben, ansonsten sperrst du dich aus ❗
Für Tor melde ich mich noch. Da habe ich eine Menge Fragen, die in eine ähnliche Richtung gehen wie die von Hans (aber vermutlich noch viel "dümmer" sind).
Bitte gerne, und nein es gibt keine dummen Fragen 👍 4.)
elektronenblitz63 schrieb: duesentriebchen schrieb:
... Ich würde eine Whitelist für MAC-Addressen führen. Hostapd kann das und mach ein Passwort mit 63 Stellen. Artikel dazu im Wiki.
Hallo, das kann man machen, für die Sicherheit bringt das letztendlich jedoch gar nichts, da MAC-Adressen unverschlüsselt übertragen werden und ganz einfach kopiert werden können.
Geb ich dir Recht. Aber für 99% der Attacken auf einen WLAN AP ist die zusätzliche Absicherung durch die MAC-Addresses eine gute Idee. Wenn man es etwas schärfer haben will, dann hilft einem ein 63 stelliges Passwort auch nicht viel. Hier könnte man auf RSA-Schlüssel umsteigen. Ich find die Diskussion extrem fruchtbar 😬 👍
Das macht Spaß 😀
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
elektronenblitz63 schrieb: @ Farinet beachte meine beiden letzten beiden Beiträge!
Danke! Also werde ich - bei den MacAdressen - den "faulen" Weg wählen. Du hast also auf dem raspberry Squid → Privoxy → Tor am Laufen? Squid ist mir zu verzwickt, aber vielleicht wäre es dann doch eine Idee, Polipo vor Tor zu schalten. Eine grundsätzliche, vielleicht sehr dumme (? hoffentlich nicht! 😉 ) Frage: Die Beziehungen zwischen den dreien auf dem raspberry werden lokal konfiguriert? So, oder so ähnlich, wie wenn es (m)ein lokaler Standrechner wäre, also mit localhost (127.0.0.1):Port etc. pp. ? Wie aber wird Polipo (oder Squid) so konfiguriert, dass es die aus dem Lan kommenden Anfragen übernimmt (respektive, wie übergibt der device im Lan an Polipo)? [1] Vielleicht gibt es ja auch eine einfache Basiskonfiguration für Squid3 (für den Fall, dass so ein Setup mit Polipo nicht geht), so dass man auf die ganzen Filteroptionen verzichtet? [1] Im Manual von Polipo habe ich irgendwo - trotz Suche find ich's im Augenblick nicht - den Hinweis gefunden, dass Polipo nicht als transparenter Proxy konfiguriert werden kann.
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
@duesentriebchen Am Endgerät!
(Am raspberry mache ich im Augenblick nichts; mit Deinem /etc/network/interfaces funktioniert es ja jetzt erst einmal, erlaubt den Login usw. Aber als Torbox ist es natürlich noch nicht konfiguriert.) Für mich heisst das: Die EasyBox (DSL-Router/Modem) spricht offensichtlich etwas anders zu den Apple-Devices als der raspberry. Ein Unterschied, den die Linux/Android-Devices nicht wahrnehmen (oder intelligenter verabeiten können).
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
Hallo, hier meine vorläufige Konfiguration. Hardware:
Distributor ID: Debian
Description: Debian GNU/Linux 7.1 (n/a)
Release: 7.1
Linux raspberrypi 3.6.11+ #474 PREEMPT Thu Jun 13 17:14:42 BST 2013 armv6l GNU/Linux
Hier steuere ich die komplette Konfiguration über Skript, da ich auch noch andere Dinge mit dem Pi ausprobiere und so nicht immer manuell alle Konfigurationsdateien umschreiben und die Dienste steuern muss. Konfiguration Die hostapd.conf ist so wie ich sie im Wiki verfasst habe übernommen, nur die SSID und das Zugangskennwort (PSK) sind geändert, weshalb ich das hier nicht extra kopiere. /etc/squid/squid.conf
# Weiterleitung auf privoxy
cache_peer localhost parent 8118 7 no-query default
# Filter
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
# Example rule allowing access from your local networks.
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
# lokale Rechner freigegeben
acl lokale_rechner src 192.168.3.0/255.255.255.0
http_access allow lokale_rechner
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access deny all
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
# verwendeter Port 3128
http_port 192.168.3.1:3128 transparent
# deutsche Fehlermeldungen geblockte Seiten usw.
error_directory /usr/share/squid/errors/de
# Tag: Programmumleitung zu Squid-Guard / hier deaktiviert
# redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
access_log /var/log/squid/access.log squid
# Speicherverwaltung
cache_dir ufs /var/spool/squid 2000 16 256
cache_replacement_policy heap LFUDA
memory_replacement_policy heap LFUDA
maximum_object_size 1000 KB
maximum_object_size_in_memory 32 KB
cache_mem 8 MB /etc/privoxy/config (aktualisiert)
# privoxy lauscht auf ...
listen-address localhost:8118
# nur für lokale Dienste auf dem Pi
# listen-address lokal_Ethernet_IP:8118
# Forward zu Tor
forward-socks5 / localhost:9050 .
user-manual /usr/share/doc/privoxy/user-manual
confdir /etc/privoxy
logdir /var/log/privoxy
forwarded-connect-retries 1
accept-intercepted-requests 0
allow-cgi-request-crunching 0
split-large-forms 0
keep-alive-timeout 5
socket-timeout 300
actionsfile match-all.action
actionsfile default.action
actionsfile user.action
filterfile default.filter
filterfile user.filter
logfile logfile
toggle 1
enable-remote-toggle 0
enable-remote-http-toggle 0
enable-edit-actions 0
enforce-blocks 0
buffer-limit 4096
Momentan nur die Weiterleitung zu Tor und keinerlei Filter usw. definiert. /etc/tor/torrc (aktualisiert)
Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress localhost
DNSPort 53
DNSListenAddress 192.168.3.1
#FASCistFirewall 1
#ReachableDirAddresses *:80
#ReachableOrAddresses *:22
#ReachableOrAddresses *:443
EntryNodes {de}
ExitNodes {de} Konfigurationsskript: (aktualisiert!)
#!/bin/bash
## Instant WLAN Access-Point
## for Raspian an other Linux based Systems
## transparent Poxy Squid, Privoxy and Tor
##
## elektronenblitz63 ubuntuusers.de 2013
## published under GPL v3
##
## Version 1.7.0.7-Tor / 24. August 2013
## freie Variablen
#
## Source-Interface
## durch die interfaces gesteuerte Schnittstelle für die Internetverbindung
## Bezeichnung ggf. anpassen
## kann z.B. auch wlanX oder pppX lauten
## Standard eth0 / Ethernet
sourceiface=eth0
wanaddress=192.168.178.6
wanbroadcast=192.168.178.255
wannetmask=255.255.255.0
wangateway=192.168.178.1
wannet=192.168.178.0
## Konfiguration der WLAN-Schnittstelle die den Accesspoint erzeugt
## Bezeichnung ggf. anpassen
## WLAN statisch
wlaniface=wlan0
waddress=192.168.3.1
wbroadcast=192.168.3.255
wnetmask=255.255.255.0
iptablemask=192.168.3.0/24
## dnsmasq-base Konfiguration
## DHCP-Adresspool umfasst x-Adressen
## Vorgabe 10 IP-Adressen
ipaddresses=20
# Basisadresse DHCP-Adresspool (WLAN-IP + X)
wlanbaseip=19
# Lease-Time
leasetime=infinite
## Steuerung hostapd
hostapdservice="hostapd -B"
hostapdconf="/etc/hostapd.conf"
## Iptables-Filter bei Programmende löschen
# Standard=1
# bei pppoe-Verbindungen auf 0 setzen
delfilter=1
## Verzögerung nach Initialisierung der WLAN-Schnittstelle
wifdelay=6
## Ende freie Variablen
# Skript
## aut. Adressberechnung DHCP-Range für dnsmasq
## gemäß Vorgabe WLAN-Schnittstelle
ipaddresses=$[$ipaddresses+$wlanbaseip]
baseendaddr="`echo $waddress | tr -s . " " | awk {'print $4'}`"
basestartaddr="`echo $waddress | tr -s . " " | awk {'print $1,$2,$3'} | tr -s " " .`"
endaddr="$basestartaddr""."$[$startaddr+$ipaddresses]
startaddr="$basestartaddr""."$[$baseendaddr+$wlanbaseip]
if [ "$1" = "-h" ]; then
echo Verwendung: instant_AP_Tor.sh [-start] [-stop] [-h]
echo Syntax:
echo "sudo ./instant_AP-Tor.sh -start startet den AP"
echo "sudo ./instant_AP-Tor.sh -stop beendet die Konfiguration und schließt den AP"
echo "sudo ./instant_AP-Tor.sh beendet die Konfiguration und schließt den AP"
echo "Ende"
exit
fi
echo -e "Konfiguration ausführen ...\n"
sleep 1
service hostapd stop
service squid stop
service privoxy stop
service tor stop
/usr/bin/killall dnsmasq
/sbin/ifconfig $wlaniface down
/bin/rm -f /var/run/hostapd/$wlaniface
if [ "$1" != "-start" ]; then
echo "stoppe alle Dienste, und Verbindungen ..."
# Konfiguration löschen, Dienste stoppen
/usr/bin/killall hostapd
service squid stop
echo "Stoppe privoxy ..."
/etc/init.d/privoxy stop
service tor stop
echo "entferne WAN-Konfiguration ..."
/sbin/ifconfig $sourceiface 0.0.0.0
sleep 1
/sbin/ifconfig $sourceiface down
echo "entferne WLAN-Konfiguration ..."
/sbin/iwconfig $wlaniface mode managed
sleep 1
/sbin/ifconfig $wlaniface 0.0.0.0
sleep 1
/sbin/ifconfig $wlaniface down
sleep 2
/usr/bin/killall dnsmasq
/sbin/sysctl -w net.ipv4.ip_forward=0
if [ "$delfilter" = "1" ]; then
echo "lösche iptables-Filter ..."
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/modprobe -rfv iptable_nat ipt_MASQUERADE xt_conntrack iptable_filter
fi
echo "Dienstestatus:"
service hostapd status
service squid status
service privoxy status
service tor status
echo "WLAN Access-Point Konfiguration beendet."
exit
fi
# Grundkonfiguration
echo -e "Starte alle Dienste, und Verbindungen ...\n"
# Ethernet initialisieren
echo -e "WAN-Schnittstelle initialisieren (statisch) ...\n"
/sbin/ifconfig $sourceiface $wanaddress broadcast $wanbroadcast netmask $wannetmask
sleep 1
/sbin/ifconfig $sourceiface up
sleep 1
/sbin/route add default gw $wangateway metric 1 dev $sourceiface
## WLAN-Schnittstelle statisch konfigurieren
echo -e "WLAN-Schnittstelle initialisieren (statisch) ...\n"
sleep 1
/sbin/ifconfig $wlaniface up
sleep $wifdelay
/sbin/ifconfig $wlaniface $waddress broadcast $wbroadcast netmask $wnetmask
sleep 1
echo "done - check ..."
/sbin/ifconfig $wlaniface | egrep '$wlaniface|inet Adresse'
/sbin/route -n | grep $wlaniface
echo -e "deaktiviere Stromsparmechanismen für $wlaniface ...\n"
/sbin/iw dev $wlaniface set power_save off
sleep 2
echo -e "Starte hostapd-Service ...\n"
$hostapdservice $hostapdconf
sleep 1
## Masquerading und NAT
echo -e "starte IP-Forward, Masquerading und NAT\n"
/sbin/iptables -A FORWARD -o $sourceiface -i $wlaniface -s $iptablemask -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o $sourceiface -j MASQUERADE
## Umleitung zu squid
/sbin/iptables -t nat -A PREROUTING -i $wlaniface -p tcp --dport 80 -j REDIRECT --to-port 3128
## Port forwarding aktivieren
/sbin/sysctl -w net.ipv4.ip_forward=1
## Dienste starten
echo -e "starte DHCP-Server dnsmasq-base\n"
echo DHCP-Range dnsmasq-base - Startadresse: $startaddr Endadresse: $endaddr
/usr/sbin/dnsmasq -i $wlaniface -I $sourceiface -F $startaddr,$endaddr,$leasetime
service squid start -n
sleep 1
echo "Starte privoxy ..."
service privoxy start
sleep 1
echo "Starte Tor ..."
service tor start
## DNS setzen
echo "DNS-Konfiguration ..."
echo -e "nameserver" $(route -n | grep UG | awk {'print $2'}) | tee /etc/resolv.conf
echo "dnsmasq - Dienstekonfiguration:"
ps aux | grep [d]ns
echo
## Ausgabe der aktuellen Konfiguration
echo -e "check ..."
cat /etc/resolv.conf
echo
/sbin/route -n
echo
echo -e "Konfiguration LAN:\n"
/sbin/ifconfig $sourceiface | egrep 'Link|inet Adresse'
echo
echo "Konfiguration WLAN:"
/sbin/ifconfig $wlaniface | egrep 'Link|inet Adresse'
echo
/sbin/iwconfig $wlaniface | egrep 'IEEE|Power|Mode'
echo
/sbin/iwconfig mon.$wlaniface
echo "Dienstestatus:"
service hostapd status
service squid status
service privoxy status
service tor status
exit 0
Die verwendeten IP-Adressen sind natürlich nur hier auf meinem System gültig. Konfiguration über Skript starten ...
pi@raspberrypi ~ $ sudo ./instant_AP-Tor.sh -start
Konfiguration ausführen ...
[ ok ] Stopping advanced IEEE 802.11 management: hostapd.
[ ok ] Stopping Squid HTTP proxy: squid.
[ ok ] Stopping tor daemon...done (not running - there is no /var/run/tor/tor.pid).
dnsmasq: Kein Prozess gefunden
Starte alle Dienste, und Verbindungen ...
WAN-Schnittstelle initialisieren (statisch) ...
WLAN-Schnittstelle initialisieren (statisch) ...
done - check ...
inet Adresse:192.168.3.1 Bcast:192.168.3.255 Maske:255.255.255.0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
deaktiviere Stromsparmechanismen für wlan0 ...
Starte hostapd-Service ...
Configuration file: /etc/hostapd.conf
Using interface wlan0 with hwaddr f4:ec:38:8c:ea:b8 and ssid 'EB_WLAN_APTOR'
starte IP-Forward, Masquerading und NAT
net.ipv4.ip_forward = 1
starte DHCP-Server dnsmasq-base
DHCP-Range dnsmasq-base - Startadresse: 192.168.3.2 Endadresse: 192.168.3.11
[ ok ] Starting Squid HTTP proxy: squid.
Starte privoxy ...
Starte Tor ...
[ ok ] Starting tor daemon...done.
DNS-Konfiguration ...
nameserver 192.168.178.1
dnsmasq - Dienstekonfiguration:
nobody 11263 0.0 0.1 4772 924 ? S 19:32 0:00 /usr/sbin/dnsmasq -i wlan0 -I eth0 -F 192.168.3.2,192.168.3.11,infinite
check ...
nameserver 192.168.178.1
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 1 0 0 eth0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Konfiguration LAN:
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:65:2f:d0
inet Adresse:192.168.178.6 Bcast:192.168.178.255 Maske:255.255.255.0
Konfiguration WLAN:
wlan0 Link encap:Ethernet Hardware Adresse f4:ec:38:8c:ea:b8
inet Adresse:192.168.3.1 Bcast:192.168.3.255 Maske:255.255.255.0
wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm
Power Management:off
mon.wlan0 IEEE 802.11bgn Mode:Monitor Frequency:2.422 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
Dienstestatus:
[ ok ] hostapd is running.
[ ok ] squid is running.
[ ok ] privoxy is running.
[ ok ] tor is running. Konfiguration über Skript beenden:
pi@raspberrypi ~ $ sudo ./instant_AP-Tor.sh -stop
Konfiguration ausführen ...
stoppe alle Dienste, und Verbindungen ...
[ ok ] Stopping Squid HTTP proxy: squid.
Stoppe privoxy ...
[ ok ] Stopping tor daemon...done.
entferne WLAN-Konfiguration ...
net.ipv4.ip_forward = 0
lösche iptables-Filter ...
rmmod iptable_nat
rmmod ipt_MASQUERADE
rmmod xt_conntrack
rmmod iptable_filter
rmmod ip_tables
Dienstestatus:
[FAIL] hostapd is not running ... failed!
[FAIL] squid is not running ... failed!
[FAIL] privoxy is not running ... failed!
[FAIL] tor is not running ... failed!
WLAN Access-Point Konfiguration beendet.
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
@elektronenblitz
Das muss ich erst einmal verdauen 😉 Drei Fragen habe ich aber jetzt schon mal: 1) Mir hat duesentriebchen's Argument eingeleuchtet, dass privoxy besser lokal installiert werden sollte (weil es so http und https handeln kann).
2) Aus verschiedenen Manuals meine ich verstanden zu haben, dass Squid *VOR* privoxy laufen sollte, während Polipo nach Privoxy kommen sollte. Ist das in Stein gemeisselt, oder könnte man, eventuell auch von privoxy auf den Devices im Lan dann an Squid auf dem raspberry übergeben?
3) Benutzt Du Squid oder Squid3?
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
2. Wieso hast du eigentlich bei der eth0 Schnittstelle DHCP wieder weggenommen? Das würde ja nur dann Sinn machen, wenn du eth0 vorher erlaubt hättest, aber jetzt den DNS nur haben willst.
Weil du, angenommen eth0 ist deine WAN Schnittstelle, nicht möchtest, daß dnsmasq auf Verbindungen aus dem Internet lauscht 😀 Lesen
Laut hier ist die Angabe von eth0 überhaupt nicht erforderlich, eben weil dnsmasq hier nicht lauscht. Es sei denn, du gibst es explizit an, dann würde no-dhcp wieder Sinn machen.
Richtig. Aber ich gebe es nochmal explizit an.
Mir ist grad aufgefallen, dass das auch im Wiki zu hostapd so drin steht: hostapd (Abschnitt „dnsmasq“) Wäre das nicht generell sinnvoller, im Wiki das wie folgt zu schreiben (wenn schon ein device ausgeschlossen werden soll):
1
2
3
4
5
6
7
8
9
10
11
12
13
14 | # If you want dnsmasq to listen for DHCP and DNS requests only on
# specified interfaces (and the loopback) give the name of the
# interface (eg eth0) here.
# Repeat the line for more than one interface.
interface=wlan0
# Or you can specify which interface _not_ to listen on
except-interface=eth0
# Or which to listen on by address (remember to include 127.0.0.1 if
# you use this.)
#listen-address=
# If you want dnsmasq to provide only DNS service on an interface,
# configure it as shown above, and then use the following line to
# disable DHCP and TFTP on it.
#no-dhcp-interface=
|
|
Farinet
(Themenstarter)
Anmeldungsdatum: 17. Juni 2009
Beiträge: 611
|
Ich habe jetzt einmal mit polipo (noch ohne Tor) auf dem raspberry herumgespielt. Der Rechner im Lan läuft mit privoxy lokal. In privoxy gibt es dieses statement zur Übergabe an polipo auf dem raspberry: forward / 10.0.0.103:8123 Und in polipo auf dem raspberry: allowedClients = 127.0.0.1, 10.0.0.0/200 Aber irgendwo hakt's: Wenn ich, nur z.B., http://torcheck.xenobite.eu aufrufe bekomme ich eine privoxy Fehlermeldung: No server or forwarder data received
Your request for http://torcheck.xenobite.eu/ could not be fulfilled, because the connection to torcheck.xenobite.eu (10.0.0.103) has been
closed before Privoxy received any data for this request.
|
duesentriebchen
Anmeldungsdatum: 10. Februar 2012
Beiträge: 713
Wohnort: Im Inntal
|
elektronenblitz63 Anbei ein Screenshot einer Seite, logischerweise in Zusammenhang mit Linux 😬 , wo Werbung durch den intercepting Privoxy gefiltert wird. Wärst du so nett, uns auf selbiger Seite mit deiner Konfiguration einen Screenshot zur Verfügung zu stellen. Mich würd das sehr interessieren. Evtl. noch den Output von tail -f /var/log/privoxy/logfile , wenn du die Seite ladest. Anbei meiner...
2013-08-12 18:53:44.117 7fb9bcff9700 Request: www.linuxforums.org/
2013-08-12 18:53:46.938 7fb9bcff9700 Request: www.linuxforums.org/forum/clientscript/vbulletin_md5.js
2013-08-12 18:53:47.177 7fb9be7fc700 Request: www.linuxforums.org/common/css/common.css
2013-08-12 18:53:47.266 7fb9bffff700 Request: www.linuxforums.org/common/css/common-nossl.css
2013-08-12 18:53:47.314 7fb9beffd700 Request: www.linuxforums.org/common/css/rte.css
2013-08-12 18:53:47.314 7fb9c62fc700 Request: www.linuxforums.org/common/js/js.js
2013-08-12 18:53:47.460 7fb9bcff9700 Request: www.linuxforums.org/admin_functions/js/slider.js
2013-08-12 18:53:48.681 7fb9beffd700 Request: www.linuxforums.org/common/images/nav_bar_top.gif
2013-08-12 18:53:48.681 7fb9bcff9700 Request: www.linuxforums.org/common/images/nav_bar.gif
2013-08-12 18:53:48.681 7fb9bffff700 Request: www.linuxforums.org/common/images/logo2.gif
2013-08-12 18:53:49.026 7fb9c62fc700 Request: www.linuxforums.org/common/images/nav_bar_rev.gif
2013-08-12 18:53:49.128 7fb9bcff9700 Request: www.linuxforums.org/forum/linux2/misc/tcat2.gif
2013-08-12 18:53:49.131 7fb9be7fc700 Request: www.indeed.com/p/jobsearch.gif
2013-08-12 18:53:49.220 7fb9beffd700 Request: www.linuxforums.org/common/images/icon-popForum.gif
2013-08-12 18:53:49.237 7fb9bf7fe700 Request: www.linuxforums.org/common/images/bgd-answer2.gif
2013-08-12 18:53:49.338 7fb9bffff700 Request: www.linuxforums.org/common/images/icon-feature.gif
2013-08-12 18:53:49.825 7fb9bcff9700 Request: www.linuxforums.org/common/images/score-5b.gif
2013-08-12 18:53:49.895 7fb9beffd700 Request: www.linuxforums.org/common/images/score-0.gif
2013-08-12 18:53:49.981 7fb9bffff700 Request: www.linuxforums.org/common/images/icon-editorsCh.gif
2013-08-12 18:53:50.109 7fb9c62fc700 Request: www.linuxforums.org/common/images/score-425.gif
2013-08-12 18:53:50.257 7fb9bf7fe700 Request: www.linuxforums.org/common/images/icon-readersCh.gif
2013-08-12 18:53:50.343 7fb9bcff9700 Request: www.linuxforums.org/common/images/score-5.gif
2013-08-12 18:53:50.599 7fb9bffff700 Request: www.linuxforums.org/common/images/score-3b.gif
2013-08-12 18:53:50.681 7fb9beffd700 Request: www.linuxforums.org/common/images/score-4b.gif
2013-08-12 18:53:50.779 7fb9c62fc700 Request: www.linuxforums.org/common/images/score-4.gif
2013-08-12 18:53:50.876 7fb9bf7fe700 Request: www.linuxforums.org/common/images/score-3.gif
2013-08-12 18:53:50.963 7fb9bcff9700 Request: www.linuxforums.org/common/images/rss.gif
2013-08-12 18:53:51.126 7fb9beffd700 Request: www.linuxforums.org/common/images/icon-freebies.gif
2013-08-12 18:53:51.263 7fb9c62fc700 Request: www.linuxforums.org/common/images/icon-jobs.gif
2013-08-12 18:53:51.405 7fb9bffff700 Request: www.linuxforums.org/common/images/nav_bar_search.gif
2013-08-12 18:53:51.738 7fb9bcff9700 Request: www.linuxforums.org/images/logo-Mm.png
2013-08-12 18:53:54.261 7fb9bcff9700 Request: www.linuxforums.org/common/images/bgd-artHeader.gif
2013-08-12 18:54:05.728 7fb9c5afb700 Request: track.netshelter.net/async/js/sites/linuxforums.org-async.js
2013-08-12 18:54:07.030 7fb9bffff700 Request: p.chango.com/static/c.js
2013-08-12 18:54:07.129 7fb9c62fc700 Request: zdbb.net/l/z0WVjCBSEeGLoxIxOQVEwQ?or=http%3A%2F%2Fr.duckduckgo.com%2Fl%2F%3Fkh%3D-1%26uddg%3Dhttp%253A%252F%252Fwww.linuxforums.org%252F
2013-08-12 18:54:08.208 7fb9c62fc700 Request: zdbb.net/l/z0WVjCBSEeGLoxIxOQVEwQ?or=http%3A%2F%2Fr.duckduckgo.com%2Fl%2F%3Fkh%3D-1%26uddg%3Dhttp%253A%252F%252Fwww.linuxforums.org%252F&_cc=1
2013-08-12 18:54:08.247 7fb9bffff700 Request: dnetshelter2.d.chango.com/c/1376326447792/c.js?&t=Open%20Source%20and%20Linux%20Forums&p=http%3A%2F%2Fwww.linuxforums.org%2F&r=http%3A%2F%2Fr.duckduckgo.com%2Fl%2F%3Fkh%3D-1%26uddg%3Dhttp%253A%252F%252Fwww.linuxforums.org%252F&aid=10959&chaid=netshelter-2
2013-08-12 18:54:09.357 7fb9bffff700 Request: dnetshelter2.d.chango.com/c/lt.js?p=http%3A%2F%2Fwww.linuxforums.org%2F&r=http%3A%2F%2Fr.duckduckgo.com%2Fl%2F%3Fkh%3D-1%26uddg%3Dhttp%253A%252F%252Fwww.linuxforums.org%252F&chaid=netshelter-2&t=Open+Source+and+Linux+Forums&aid=10959&is_new_user=true Was mich am meisten interessiert, ob auch https Verkehr bei deiner Konfiguration von Privoxy gefiltert wird ❗
- Bilder
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
duesentriebchen schrieb: Was mich am meisten interessiert, ob auch https Verkehr bei deiner Konfiguration von Privoxy gefiltert wird ❗
Hallo, letztere geht (momentan) noch nicht, alles was über Port 80 kommt wird über Tor geleitet. https über Port 443 wird momentan direkt weitergeleitet. Privoxy filtert auch noch nicht so wie ich mir das vorstelle, da muss ich mich aber noch in die Konfiguration einarbeiten. Momentan ist der Pi allerdings nicht angeschlossen und ich kann nichts konkretes berichten. Der SoC wurde doch recht warm (der Pi wird hier moderat übertaktet), so dass ich zunächst mal einen größtmöglichen Kühlkörper aufgeklebt habe. Der Kleber muss jetzt erstmal aushärten. So richtig werde ich mich wahrscheinlich erst wieder kommende Woche damit beschäftigen können, da ich unter der Woche beruflich lange unterwegs sein werde. Am Wochenende werde ich leider ebenfalls kaum Zeit haben mich mit mit diesen Dingen zu beschäftigen. Farinet schrieb: 1) Mir hat duesentriebchen's Argument eingeleuchtet, dass privoxy besser lokal installiert werden sollte (weil es so http und https handeln kann).
Ob das mit transparentem Squid funktioniert weiß ich selbst noch nicht.
2) Aus verschiedenen Manuals meine ich verstanden zu haben, dass Squid *VOR* privoxy laufen sollte, ...
Hier ist das so.
während Polipo nach Privoxy kommen sollte.
Damit habe ich mich noch nicht befasst.
Ist das in Stein gemeisselt, oder könnte man, eventuell auch von privoxy auf den Devices im Lan dann an Squid auf dem raspberry übergeben?
Da der Pi nur über eine Ethernetschnittstelle verfügt, müsste man dazu mit einem virtuellen Interface oder einem extra USB → Ethernet-Adapter arbeiten. Grundsätzlich sollte auch das möglich sein. Beide IF könnten dann in einer Bücke (Bridge) zusammengefaßt werden → WLAN Router - Netzwerkbrücke
3) Benutzt Du Squid oder Squid3?
Unter Raspian ist Squid 2.7-stable in den Repos.
- Bilder
|