On Thu, Feb 09, 2012 at 01:00:42PM +0100, Jaromil wrote:
> questa internet ormai e' un posto monitorato all'inverosimile che
> quindi, determinato a ricavarmi un altro contesto in un posto piu'
> rilassato, un bel giorno di questi mi sono svegliato ed ho deciso di
> aprire un paio di porte su mondi paralleli, darknets come I2P e Tor,
> dove la gente parla liberamente e in anonimita'.
L'altro giorno siamo andati all'aquila a montare pc per il medialab (o
forse dovremmo chiamarlo DarkNet Point) e abbiamo implementato ghettobox
;)
> le specifiche possono essere quelle di un computer trovato
> nell'immondizia, purche' ancora funzionante: ram minima 256MB, CPU
> PII e una sola scheda di rete.
avevamo qualcosa di meglio: 256MB, cpu athlon1ghz (la prima versione), N
schede di rete. Tra l'altro non capisco perché non ne hai usate due,
credo che tutti noi ne abbiamo pacchi.
Avendo due schede di rete, abbiamo raggiunto un risultato di "graceful
degradation" importante: abbiamo mantenuto il router adsl con il dhcp
attivo, ed è lui a gestire il wireless. Dunque se il server esplode,
qualcosa ancora funziona, senza troppi smanettamenti. Inoltre, spostando
un par di cavi, è possibile collegare la rete fissa al router adsl, in
modo che si torni ad un'architettura "standard" di rete.
> 3) istallateci Debian 6 stable, possibilmente fatelo in mutande in
> modo da sentire FREDDO. in questo modo proverete quello che e' il
> FREDDO che ogni debianista prova NEL CUORE. una volta compreso
> cosa sia il FREDDO CUORE di DEBIAN, si incontrano meno problemi con
> debian.
volevamo, ma debian non era d'accordo e non bootava. In diretta dagli
anni '90 ci e' arrivato un cd di slackware 13.37, che è tutto lento da
fare, ma porcoddio funziona, e non usa busybox durante l'installazione.
Comunque almeno per le workstation devo dire che non è male, ha
installato tutto in modo piuttosto comodo, e i pc vanno molto bene.
> 4) istallate: iptables, privoxy, dnsmasq e polipo
polipo da compilare, non abbiamo trovato il pacchetto.
> configurare dnsmasq anche x server dhcp e disattivarlo sul router
> ADSL! sara' la GHETTOBOX a dare gli ip
btw, dnsmasq gestisce anche un dns interno, molto comodo.
> * IPTABLES
>
> Aggiungete queste regole all'avvio, non so come cazzo si debba fare
> secondo i debianisti, ma da quando esiste UNIX esiste /etc/rc.local
/etc/rc.firewall :)
> # aggiungi una interfaccia virtuale "br0" (virtual bridge)
non avevamo bisogno di questa parte
> # metti le regole di firewall
> iptables --flush
> iptables --table nat --flush
> iptables --delete-chain
> iptables --table nat --delete-chain
> ip6tables -A INPUT -j DROP # FANCULO IPV6
> iptables --table nat --append POSTROUTING --out-interface eth0 -j SNAT --to 10.0.0.250
> iptables --append FORWARD --in-interface eth0 -s 10.0.0.0/24 -j ACCEPT
> iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8118
pure questa era leggermente più semplice, ma non mi ricordo bene :D
> * I2P
i2p non l'abbiamo messo, non ci andava.
> http://kpvz7ki2v5agwt35.onion (the hidden wiki)
ma ora la parte divertente: dopo tutto questo layout, tutto pareva
andare TRANNE i .onion, che davano sempre errore. Ho letto qualsiasi
manuale di privoxy, spostato ogni parametro di tor, ecc ecc.
Per poi scoprire che semplicemente i 3 siti su cui facevo test erano
down...
Per chi vuole fare test, suggerisco di usare tor2web.org come
"controprova", m'ha salvato.
> qui di sotto in breve riporto come ho fatto. mi offro anche
> all'hackmeeting di fare un piccolo workshop su sta cosa, magari
> assieme a qualcun'altro dato che credo di non essere l'unico
beh, all'hackmeeting ci sarà a disposizione addirittura il server già
pronto, con parecchie workstation collegate, direi che potremmo
addirittura "rilanciare" in un workshop sull'utilizzo di .onion
teorico/pratico, che valorizzi pure il lavoro fatto sul luogo.
Oltre alla "distro", altre cose su cui potremmo lavorare sono:
* tor browser bundle configurato per usare la ghettobox come proxy tor
* far passare in automatico alcuni siti dietro tor: questo è utile ad
esempio per le chat/IM, che tanto dietro tor non sono affatto più lenti.
Rendere il tutto "trasparente" sarebbe davvero fico, non so però se si
può fare.
--
boyska