Самостоятельный аудит iptables - проверяем дыры в фаерволлах.

Поделюсь краткой инструцией проверки правильности настроек прозрачной проксификации - актуально в первую очередь для тех, у кого весь трафик машины запущен через тор. При такой схеме все без исключения пакеты (ну не вот прямо все, имеются в виду все пакеты протокола tcp, так как кроме них есть еще например ARP пакеты, пакеты которыми обмениваются адаптер с точкой в процессе работы, те же EAPOL keys и т.п.) должны идти строго через тор. А если точнее - то через входной узел цепи тора - сторожевой или мостовой узел. Для аудита нужно установить два анализатора трафика:

sudo apt update && sudo apt install -y iptraf-ng tcpdump

Код

sudo apt update && sudo apt install -y iptraf-ng tcpdump

^ В моем случае интерфейс называется wlan0.

После чего открываем два терминала и исполняем в них команды. В первом:

sudo iptraf-ng -d zzz0

Код

sudo iptraf-ng -d zzz0

где:
zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.

Во втором:

sudo tcpdump -i zzz0 not arp and not host xxx.xxx.xxx.xxх -vv

Код

sudo tcpdump -i zzz0 not arp and not host xxx.xxx.xxx.xxх -vv

где:
где zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
xxx.xxx.xxx.xxх - это IP адрес входной ноды - его можно посмотреть в onioncircuits (справа верхняя нода). правда если подключаться к мосту там будет написано unknown - так что айпишку нужно смотреть в torrc по отпечатку узла (Fingerprint).

Если все настроено правильно - то в iptraf-ng все пакеты должны быть TCP/IPv4, а в дампе tcpdump не должно быть захваченных пакетов - тупо две строки запуска анализатора:



^ Слева сверху iptraf-ng, слева снизу tcpdump