Socks5 с X-Forwarded-For+privoxy

Страницы :   Пред.  1, 2, 3, 4, 5, 6, 7, 8  След.
Ответить
 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 26-Мар-17 23:14 (7 лет 7 месяцев назад, ред. 26-Мар-17 23:14)

CentOS. Привык к работе с ним. Я бы давно начал бы подразумевать, что может в ОС что-то не так. Но изначально я поднимал всё на винде. И одна и та же проблема "кочует" из винды в linux...
На другом ПК та же история. Чтобы наверняка, даже пробовал локально curl'ом проверить. Тот же результат. Ладно, попробую убунту. Но это уже завтра...
[UPDATE]
Успел поднять сегодня. Результат: всё то же самое. Причём проверку делал локально curl'ом, чтобы свести на минимум влияние host системы.
То ли лыжи не едут, то ли я совсем дурак и где-то дико косячу....
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 26-Мар-17 23:52 (спустя 38 мин.)

AllertGen
HTTP пробовали?, почему Socks - у вас Full DPI?
HTTP предпочтительней для RTO
[Профиль]  [ЛС] 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 27-Мар-17 00:05 (спустя 13 мин.)

Socks - т.к. хочу в конечном итоге "заворачивать" многое на tor (не только rutracker блокируется, а указать торрент клиенту, что для этих ресурсов - http proxy, для этих - socks, а для этих - так, нельзя). А tor работает только по socks.
И, да, просто HTTP работает. При конфиге:
скрытый текст
confdir /etc/privoxy
actionsfile user.action
listen-address 127.0.0.1:43700
forward / .
#
#forward-socks5 .t-ru.org/ px1.blockme.site:23125 .
#
forward 127.*.*.*/ .
forward 192.168.*.*/ .
forward 10.*.*.*/ .
accept-intercepted-requests 1
Получаю:
скрытый текст
$ curl -A test -x HTTP://127.0.0.1:43700 http://bt.t-ru.org
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://zapret.[ISP].ru/ip/">here</a>.</p>
<hr>
<address>Apache Server at bt.t-ru.org Port 80</address>
</body></html>
Проблема именно в использовании Socks... Но именно на стороне privoxy. Как я говорил, если направить на tor (установленный на виртуальной машине), то выйти в интернет получается.
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 27-Мар-17 00:12 (спустя 6 мин., ред. 27-Мар-17 00:12)

AllertGen писал(а):
72776553для этих - socks, а для этих - так, нельзя
Можно, только Socks у вас сам по себе не работает..
AllertGen писал(а):
72776553При конфиге:
# - везде уберите
Проверяйте так -
Код:
http_proxy="127.0.0.1:43700" curl bt.t-ru.org/myip
[Профиль]  [ЛС] 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 27-Мар-17 00:36 (спустя 24 мин., ред. 27-Мар-17 00:36)

Цитата:
Можно
У меня торент клиент (qbittorent. От "нормального" uTorrent пришлось отказаться, когда он на большом кол-ве торрентов начал выжирать оперативу, а её было свободно более 12 Гигов) не позволяет делать исключения. Т.е. либо весь трафик в proxy, либо весь отправлять так.
Цитата:
только Socks у вас сам по себе не работает..
Опять же - если я настраиваю на тор (который на виртуальной машине у меня "слушает" как внешний, так и loopback адрес), то через него в сеть выйти получается без проблем. Т.е не работает не Socks как таковой, а Socks именно в privoxy.
Цитата:
# - везде уберите
А чем так не устроило? При указаном конфиге он всё отправляет в инет, но через себя. Наличие/отсутсвие строки с forward-socks5t при HTTP тесте вообще ни на что не влияет. Но сделал немного по другому. Конфиг:
скрытый текст
confdir /etc/privoxy
actionsfile user.action
listen-address 127.0.0.1:43700
forward / .
#
forward .t-ru.org/ px1.blockme.site:23125
#
forward 127.*.*.*/ .
forward 192.168.*.*/ .
forward 10.*.*.*/ .
accept-intercepted-requests 1
Результат команды стал чуточку иной:
скрытый текст
$ curl -A test -x HTTP://127.0.0.1:43700 http://bt.t-ru.org
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>502 - No server or forwarder data received (Privoxy@localhost)</title>
Цитата:
http_proxy="127.0.0.1:43700" curl bt.t-ru.org/myip
Результат:
скрытый текст
$ http_proxy="127.0.0.1:43700"
$ curl bt.t-ru.org/myip
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://zapret.[ISP].ru/ip/">here</a>.</p>
<hr>
<address>Apache Server at bt.t-ru.org Port 80</address>
</body></html>
Да, у моего провайдера Full DPI. На HTTP это не сложно сделать (если не ошибаюсь, то высокоуровневые Cisco маршрутизаторы или Nexus коммутаторы позволяют делать матчинг по содержимому HTTP трафика. А у провайдера такие, наверняка, имеются).
Короче, думаю обратиться к разработчикам privoxy. Может что дельное посоветуют...
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 27-Мар-17 00:37 (спустя 52 сек.)

Цитата:
forward .t-ru.org/ px1.blockme.site:23125
порт HTTP 23128
Цитата:
Да, у моего провайдера Full DPI
HTTP тогда не подойдёт.Верните на Socks
Что у вас покажет команда http_proxy="127.0.0.1:43700" curl rutracker.cr/myip
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 27-Мар-17 11:16 (спустя 10 часов)

Интересно, а типа вот так можно? Переменная выдуманная.
Код:
{+add-header{X-Forwarded-For: $WAN_IPADDR}}
А привокси делать -HUP при каждом wan_up?
Вроде так проще?
[Профиль]  [ЛС] 

koctet1

Стаж: 15 лет 3 месяца

Сообщений: 80

koctet1 · 27-Мар-17 12:43 (спустя 1 час 26 мин., ред. 27-Мар-17 12:43)

Гуфыч писал(а):
72776700
Цитата:
forward .t-ru.org/ px1.blockme.site:23125
порт HTTP 23128
Прокси px1.blockme.site на http отвалился: "Connect failed"
[Профиль]  [ЛС] 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 27-Мар-17 14:41 (спустя 1 час 58 мин.)

Цитата:
порт HTTP 23128
Да, косяк. Поправил.
Цитата:
Что у вас покажет команда http_proxy="127.0.0.1:43700" curl rutracker.cr/myip
Код:
$ curl rutracker.cr/myip
Код:
<br><big>
ip: <big><b>37.16.82.5</b> RU</big><br>
xf: <br>
realip: <b>On</b> 37.16.82.5<br><br>
ssl:  <br><br>
ua: curl/7.47.0<br><br>
tm: 27/Mar/2017:14:14:48 +0300
К слову, вроде по HTTP curl начал проходить. Но торент клиент продолжает считать трекер мёртвым. Сделал вручную тест. Скопировал из клиента запрос и отправил через curl.
Запрос:
Код:
curl -A test -x HTTP://192.168.0.16:43700 http://bt4.t-ru.org/ann?pk=[code]
Ответ:
d8:intervali3499e12:min intervali3499e5:peers6::failure reason16:Missing uploadede
Потом всё равно нужно будет с разрабами общаться, почему socks не проходит... А кстати, privoxy не умеет HTTP проксировать в Socks?
[Профиль]  [ЛС] 

stas274

Стаж: 18 лет 3 месяца

Сообщений: 363


stas274 · 27-Мар-17 20:34 (спустя 5 часов, ред. 28-Мар-17 10:10)

big_raid писал(а):
72778423Интересно, а типа вот так можно? Переменная выдуманная.
Код:
{+add-header{X-Forwarded-For: $WAN_IPADDR}}
А привокси делать -HUP при каждом wan_up?
Вроде так проще?
В privoxy есть action +change-x-forwarded-for{add}, который добавляет в заголовок X-Forwarded-For IP клиента, который подключился к прокси. Если уже был такой заголовок, то IP не перезапишется, а добавится в список. Только это будет работать только в том случае, если к privoxy прилетают подключения с вашего внешнего адреса. В моём случае это так, хоть privoxy и на той же самой машине, что и торрент-клиент (соединения заворачиваются на прокси в intercept mode, внешний IP прилетает по dhcp от провайдера сразу на интерфейс). Проверить, с какого IP подключение идёт к privoxy можно в логах по следующей строчке:
Код:
Connect: Accepted connection from x.x.x.x on socket x
В итоге action в настройках может выглядеть так:
Код:

{+change-x-forwarded-for{add}}
.t-ru.
.rutracker.
У меня, правда, статический IP, поэтому я вручную его прописал как указано в шапке темы. Но если у кого-то динамический IP и privoxy ловит подключения с правильного внешнего IP, то вполне можно использовать этот action {+change-x-forwarded-for{add}}, который автоматом подставит ваш IP.


Сообщения из этой темы [2 шт.] были выделены в отдельную тему Выделено из: Socks5 с X-Forwarded-For+privoxy [5376074]
Гуфыч
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 09:41 (спустя 13 часов, ред. 28-Мар-17 09:41)

stas274
У меня все на роутере с Tomato. И вопрос был именно про смену динамического IP. Так как написано выше, не получилось. Сам привокси не считывает переменную, он прямо ее название в заголовок вставляет. Пришлось сделать маленький скрипт, который при каждом wan-up считывает присвоенный внешний IP и создает отдельный доп. конфигурационный файлик типа rutracker.action для привокси
Код:
{+add-header{X-Forwarded-For: мой IP-адрес}}
.t-ru.org
и далее или стартует привокси или перечитывает его конфигурацию (если запущен). В общем, все сейчас работает по схеме Transmission->Privoxy->Tor->анонсеры, проверено curl, статистикой и кол-вом сидов/пиров без флагов DHT/PEX
**************
stas274
Цитата:
privoxy ловит подключения с правильного внешнего IP, то вполне можно использовать этот action {+change-x-forwarded-for{add}, который автоматом подставит ваш IP.
Только что дошло, как до утки на седьмые сутки... У меня же тот случай.
У меня заворот iptables происходит в OUTPUT, и при дебаге привокси я видел реальный IP в логах. Блин, а я огород городил. Спасибо за наводку, сегодня попробую упростить/оптимизировать.
[Профиль]  [ЛС] 

stas274

Стаж: 18 лет 3 месяца

Сообщений: 363


stas274 · 28-Мар-17 10:26 (спустя 44 мин., ред. 28-Мар-17 10:26)

big_raid писал(а):
72784534Только что дошло, как до утки на седьмые сутки... У меня же тот случай.
У меня заворот iptables происходит в OUTPUT, и при дебаге привокси я видел реальный IP в логах. Блин, а я огород городил. Спасибо за наводку, сегодня попробую упростить/оптимизировать.
Должно работать без проблем, раз у вас в OUTPUT. Сетевые пакеты в этом случае изначально (до редиректа) должны были улететь по внешнему интерфейсу и логично, что source ip у них является ip-адресом этого самого внешнего интерфейса. Вот если пакеты прилетают с другой машины в цепочке FORWARD, тогда тут так просто уже не получится, т.к. source ip в пакетах будет уже ip-адресом машины, с которой приходят пакеты (скорее всего какой-то адрес из локальной сети). Ещё не будет работать, если система за NAT. В этом случае на внешнем интерфейсе не внешний ip-адрес.
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 12:18 (спустя 1 час 52 мин.)

stas274
Переделал, попробовал, и как и ожидалось все работает. Так действительно проще. Огород надо городить если прокси во внутренней сети...
[Профиль]  [ЛС] 

OverM

Top User 01

Стаж: 17 лет 5 месяцев

Сообщений: 87

OverM · 28-Мар-17 12:47 (спустя 29 мин., ред. 28-Мар-17 12:47)

До меня тоже до сих пор не дошло как подставить свой реальник на прокси, которая находится на другом конце туннеля, при входе на нее по адресу внутри туннеля
Как статический, так и динамический.
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 13:47 (спустя 59 мин.)

OverM писал(а):
72785628которая находится на другом конце туннеля, при входе на нее по адресу внутри туннеля
Чуть мозг не вынесло, как прочитал после плотного обеда
[Профиль]  [ЛС] 

OverM

Top User 01

Стаж: 17 лет 5 месяцев

Сообщений: 87

OverM · 28-Мар-17 13:57 (спустя 10 мин., ред. 28-Мар-17 13:57)

big_raid
Простите
10.200.0.1 - OpenVPN адрес прокси за рубежом
10.200.0.6 - OpenVPN адрес моего роутера.
Мне нужно чтобы при обращении моей подсети к прокси на 10.200.0.1 подставлялся мой реальный адрес, который находится в РФ.
Причем он динамический и должен по событию смены меняться.
Можно и каскадировать прокси, обращаясь сначала к своей, потом апстримом туда, но неважно - внешник все равно нужен мой.
Так-то все работает, но внешник неверный, соответственно я мертвый пир
[Профиль]  [ЛС] 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 28-Мар-17 14:32 (спустя 34 мин., ред. 28-Мар-17 15:21)

Гуфыч
Пока решаю проблему socks с разработчиками (учитывая, что основной способ общения - maillist, да ещё и с долгим временем ответа, то это затянется), буду лепить костыли под HTTPtoSocks приложениям.
Сейчас у меня вопрос по основному решению из топика, при перенаправлении из privoxy на px1.blockme.site. При попытке зайти на http://bt3.t-ru.org/myip выдаётся верная инфа по IP адресу в прокси.
Но при попытке подключиться на адрес в раздаче, возникают проблемы:
1. При подключении из браузера выдаётся 403 Forbidden. Это я думаю нормально, т.к. браузерам нефиг делать на раздаче.
2. При запросе curl'ом получаю ответ с ошибкой:
Код:
curl -A test -x http://192.168.0.16:43700 http://bt3.t-ru.org/ann?pk=[PID]
d8:intervali3056e12:min intervali3056e5:peers6::failure reason16:Missing uploadede
Опять же, ошибка может из-за того, что я должен по средствам POST что-либо передать, но не передаю.
Однако торрент клиент так же продолжает считать трекер в раздаче не доступным. При этом при запуске клиента я вижу, что подключения массово отправились на прокси сервер (вот только не знаю, успевали ли подключения переходить в ESTABLISHED состояние):
скрытый текст
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56778
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56767
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56784
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56757
TIME-WAIT 0 0 192.168.0.16:39772 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56782
ESTAB 0 0 192.168.0.16:39328 37.220.18.41:8080
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56738
TIME-WAIT 0 0 192.168.0.16:39870 163.172.167.207:23128
ESTAB 0 0 192.168.0.16:34728 192.87.28.82:9001
TIME-WAIT 0 0 192.168.0.16:39848 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56789
TIME-WAIT 0 0 192.168.0.16:39786 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:39806 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56785
TIME-WAIT 0 0 192.168.0.16:39872 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56763
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56790
ESTAB 0 0 192.168.0.16:53142 172.241.140.26:443
TIME-WAIT 0 0 192.168.0.16:39868 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56737
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56761
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56793
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56766
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56772
TIME-WAIT 0 0 192.168.0.16:39840 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56729
TIME-WAIT 0 0 192.168.0.16:39862 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56770
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56764
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56776
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56751
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56769
TIME-WAIT 0 0 192.168.0.16:39866 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:39794 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56791
TIME-WAIT 0 0 192.168.0.16:39852 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:39854 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:39850 163.172.167.207:23128
TIME-WAIT 0 0 192.168.0.16:43700 192.168.0.2:56733
При этом настройки в клиенте не должны создавать проблем:
скрытый текст
Я вот думаю, что может клиент получает тот же ответ, что и curl, а потому считает трекер не рабочим?
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 14:34 (спустя 2 мин.)

OverM
А какой прокси на 10.200.0.1 ? Сервер свой?
По быстрому, видится свой прокси на роутере...
[Профиль]  [ЛС] 

koctet1

Стаж: 15 лет 3 месяца

Сообщений: 80

koctet1 · 28-Мар-17 14:39 (спустя 5 мин.)

OverM писал(а):
72786015big_raid
Простите
10.200.0.1 - OpenVPN адрес прокси за рубежом
10.200.0.6 - OpenVPN адрес моего роутера.
Мне нужно чтобы при обращении моей подсети к прокси на 10.200.0.1 подставлялся мой реальный адрес, который находится в РФ.
Причем он динамический и должен по событию смены меняться.
Можно и каскадировать прокси, обращаясь сначала к своей, потом апстримом туда, но неважно - внешник все равно нужен мой.
Так-то все работает, но внешник неверный, соответственно я мертвый пир
ИМХО, несколько вариантов решения:
на 10.200.0.6 смотреть адрес на wan и выкладывать его куда нить, затем на 10.200.0.1 забирать его и прописывать, задание в cron.
При каскадном прокси, адрес в X-Forwarded-For должен просто дописываться, т.е. первый прокси (10.200.0.6) прописывает в XFF свой реальный IP, следующий дописывает свой, местный прокси должен брать именно первый IP, тот который прописал 10.200.0.6, для этого этот заголовок и существует
[Профиль]  [ЛС] 

VickHard

Стаж: 13 лет

Сообщений: 3

VickHard · 28-Мар-17 14:53 (спустя 13 мин., ред. 28-Мар-17 15:04)

Добрый день
Заметил, что многие прокси не поддерживают заголовок X-Forwarded-For, а некоторые его даже удаляют.
Поэтому вопрос: можно ли добавить в анонсер трекера (bt*) поддержку других методов определения IP клиента?
Напр. стандартный заголовок:
Код:
Forwarded: for=192.0.2.43
Или поддерживать параметр:
Код:
&ip=192.0.2.43
(он же "IP для отчета трекеру") на всех раздачах, а не только на приватных (и обычно стареньких)
[Профиль]  [ЛС] 

OverM

Top User 01

Стаж: 17 лет 5 месяцев

Сообщений: 87

OverM · 28-Мар-17 14:58 (спустя 5 мин.)

big_raid писал(а):
72786257OverM
А какой прокси на 10.200.0.1 ? Сервер свой?
По быстрому, видится свой прокси на роутере...
Прокси - любой, все под моим контролем.
У меня так и сделано - свой прокси на роутере и апстримом на указанный здесь.
Но я хочу именно уходить в туннель, не обращаясь открыто к внешникам.
[Профиль]  [ЛС] 

AllertGen

Стаж: 18 лет 10 месяцев

Сообщений: 196

AllertGen · 28-Мар-17 15:15 (спустя 17 мин.)

VickHard
Самый очевидный: добавление в адресную строку создаст проблемы тем, у кого динамический адрес (а это дофига народу). Т.е. знающие люди - в меньшинстве.
Не стандартные заголовки тоже могут легко блокироваться прокси серверами. Так что тоже не универсальный выход.
Мне большие интересен параметр в большинстве torrent клиентов: сообщать указанный IP адрес трекеру. Вот каким алгоритмом это реализуется?...
OverM
Если у Вас выход в интернет на маршрутизаторе, там же VPN, а клиент за маршрутизатором на внутренней стороне, то выход только скрипт на while или его вызов по средствам cron. Самый простой вариант на bash для этого:
Код:
#! /bin/bash
realip=$(curl -s https://api.ipify.org)
# Ниже необходимо поменять путь к файлу
confip=$(cat .../privoxy/user.action | grep +add-header{X-Forwarded-For | grep -o -E "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+")
# Ниже необходимо поменять путь к файлу
sed -i -E "s/\{\+add-header\{X-Forwarded-For\: [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\}\}/{+add-header{X-Forwarded-For: $realip}}/g" .../privoxy/user.action
if [ "$relaip" != "$confip" ]
then
# строка ниже будет зависит от дистрибьютива
service privoxy restart
fi
Правда регулярка нуждается в тестировании, но думать придётся в данном направлении.
Если privoxy на маршрутизаторе (у которого внешний IP тот, который должен уйти в заголовок), то стоит поискать, как privoxy умеет работать с переменными. Хотя мне найти не удалось с ходу.
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 15:53 (спустя 37 мин., ред. 28-Мар-17 16:05)

OverM писал(а):
Но я хочу именно уходить в туннель, не обращаясь открыто к внешникам.
Т.е. весь трафик, и к анонсерам и р2р (к пирам/сидам) пускать через VPN?
Так оно и так должно работать, кроме входящего порта.
Или чтобы исходящий трафик к пирам через впн, а входящий от них напрямую на маршрутизатор?
Чет я совсем запутался...:)
AllertGen писал(а):
как privoxy умеет работать с переменными
Похоже что никак. Воспринимает как текст. Надо подставлять ip, но проще в новый доп. файл, чтобы не городить поиск и сравнение в штатном user.action
[Профиль]  [ЛС] 

OverM

Top User 01

Стаж: 17 лет 5 месяцев

Сообщений: 87

OverM · 28-Мар-17 16:00 (спустя 7 мин., ред. 28-Мар-17 16:00)

big_raid писал(а):
72786774
OverM писал(а):
Но я хочу именно уходить в туннель, не обращаясь открыто к внешникам.
Т.е. весь трафик, и к анонсерам и р2р (к пирам/сидам) пускать через VPN?
Так оно и так должно работать, кроме входящего порта.
Или чтобы исходящий трафик к пирам через впн, а входящий от них напрямую на маршрутизатор?
Чет я совсем запутался...:)
Нет, все просто, прозрачный редирект траффика только к анонсерам, на порт прокси. Остальное маршрутизируется как обычно.
Но отдавать мне надо свой реальный адрес. Можно забить, но так и все забьют. Начинать надо с себя.
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 16:32 (спустя 31 мин.)

OverM писал(а):
Нет, все просто, прозрачный редирект траффика только к анонсерам, на порт прокси. Остальное маршрутизируется как обычно.
Но отдавать мне надо свой реальный адрес. Можно забить, но так и все забьют. Начинать надо с себя.
Прокси на роутере дописывает заголовок со своим адресом, далее, если этот заголовок никто не порубает, анонсеры его прочитают.
Как вариант, прокси за впном, но имхо сложнее.
скрытый текст
У меня Transmission-Privoxy-Tor-анонсеры
У вас клиент-прокси-впн-анонсеры
Теже яйца, только в профиль
Делайте по аналогии, как в теме написано.
[Профиль]  [ЛС] 

OverM

Top User 01

Стаж: 17 лет 5 месяцев

Сообщений: 87

OverM · 28-Мар-17 16:37 (спустя 5 мин., ред. 28-Мар-17 16:37)

big_raid писал(а):
72787018
OverM писал(а):
Прокси на роутере дописывает заголовок со своим адресом, далее, если этот заголовок никто не порубает, анонсеры его прочитают.
Для этого следующая по каскаду прокси должна его сохранить. Не вырезать, не добавить, а именно сохранить.
У меня сейчас Privoxy и висит первым. А я хочу кинуть с нее апстрим в свой туннель на любую прокси с другой стороны.
Мне неважно что это будет - Squid, Tinyproxy, Privoxy, главное чтобы мой внешник сохранился.
[Профиль]  [ЛС] 

kx77

Стаж: 11 лет 11 месяцев

Сообщений: 715


kx77 · 28-Мар-17 16:46 (спустя 8 мин.)

А вы не думали над созданием экшина для privoxy с добавлением параметра &ip=1.2.3.4 в GET запрос ?
Там же есть такая возможность
Никакой прокси не зарубит как хедер
[Профиль]  [ЛС] 

VickHard

Стаж: 13 лет

Сообщений: 3

VickHard · 28-Мар-17 17:21 (спустя 35 мин., ред. 28-Мар-17 17:21)

AllertGen писал(а):
72786532Самый очевидный: добавление в адресную строку создаст проблемы тем, у кого динамический адрес (а это дофига народу). Т.е. знающие люди - в меньшинстве.
Не стандартные заголовки тоже могут легко блокироваться прокси серверами. Так что тоже не универсальный выход.
Мне большие интересен параметр в большинстве torrent клиентов: сообщать указанный IP адрес трекеру. Вот каким алгоритмом это реализуется?...
Самое интерестное, что X-Forwarded-For - это нестандартный заголовок, а Forwarded - это как раз стандартный
А параметр "IP для отчёта трекеру" у клиента для http-анонсеров в URL просто добавляет текст вида "&ip=192.0.2.43" (а для udp-анонсеров заполняет поле "IP address" вместо нуля)
Хорошо для статичиских IP, или надо менять при смене динамического.
У меня прокси сам добавляет в URL текст "&ip=192.0.2.43", поэтому и возник вопрос
kx77 писал(а):
72787130А вы не думали над созданием экшина для privoxy с добавлением параметра &ip=1.2.3.4 в GET запрос ?
.......
Пробовал добавлять при помощи прокси (не privoxy)
Но проблема в том, что параметр &ip=1.2.3.4 работает только на приватных раздачах (созданные до 2010г)
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 28-Мар-17 19:39 (спустя 2 часа 17 мин.)

AllertGen писал(а):
72786243Однако торрент клиент так же продолжает считать трекер в раздаче не доступным.
Заметил, что qbittorrent не воспринимает работу через privoxy, что в клиенте 127.0.0.1:8118 или даже через переменную http_proxy="127.0.0.1:8118" qbittorrent.Transmission при работе через переменную http_proxy="127.0.0.1:8118" проблем не имеет..
big_raid писал(а):
72786774Т.е. весь трафик, и к анонсерам и р2р (к пирам/сидам) пускать через VPN?
Так оно и так должно работать, кроме входящего порта.
Входящий порт пробрасывается правилами iptables
Код:
iptables -t nat -A PREROUTING --dst 10.2.20.137 -p tcp --dport 60103 -j DNAT --to-destination 10.8.0.2
iptables -t nat -A PREROUTING --dst 10.2.20.137 -p udp --dport 60103 -j DNAT --to-destination 10.8.0.2
iptables -t nat -A PREROUTING -p tcp -i tun0 --dport 60103 -j DNAT --to-destination 10.8.0.2:60103
iptables -t nat -A PREROUTING -p udp -i tun0 --dport 60103 -j DNAT --to-destination 10.8.0.2:60103
10.2.20.137 - внутренний, транслируемый во внешнюю сеть, адрес сервера.Если у вас уже на eth0 внешник, пишете туда его.
10.8.0.2 - то что выдаётся на стороне подключенного клиента OpenVpn.
Что получится смотрите
Код:
iptables -t nat -L --line-numbers
OverM
Скрывать факт анонсирования почти бессмыслено (по Passkey ваш аккаунт теперь не вычислить, это просто некий уникальный отпечаток)- тогда уже нужно прятать всё
[Профиль]  [ЛС] 

big_raid

Стаж: 14 лет 1 месяц

Сообщений: 84


big_raid · 28-Мар-17 20:19 (спустя 40 мин.)

OverM писал(а):
А я хочу кинуть с нее апстрим в свой туннель на любую прокси с другой стороны.
Мне неважно что это будет - Squid, Tinyproxy, Privoxy, главное чтобы мой внешник сохранился.
Если на первом прокси возможно дописывать заголовок, зачем тогда второй прокси городить?
Или заворачивать проще?
Гуфыч писал(а):
Входящий порт пробрасывается правилами iptables
Спасибо за пример. ВПН для меня и так непростая вещь, а догруженный iptables вообще тяжко...
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error