Cloudflare добавили Tor

Cloudflare добавили в свой DNS-сервис скрытый сервис Tor.

Адрес DNS-клиента dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion доступен через сайт tor.cloudflare-dns.com.

Это открытый ключ для шифрования коммуникаций со скрытым сервисом. Пользователям не нужно запоминать «dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad», поскольку для того, чтобы браузер знал как и где получить доступ к ресурсу, сервис использует заголовок HTTP Alt-Svc. Функция поддерживается браузером Mozilla Firefox Nightly, предлагающим onion-адреса в качестве альтернативных сервисов.

Заголовок сигнализирует браузеру о доступности onion-адреса для сайта tor.cloudflare-dns.com и запускает проверку сертификата и имени сервера. Если проверка прошла удачно, то браузер отправляет запросы альтернативному сервису, скрытому DNS-резолверу, для того чтобы будущие запросы не покидали пределы сети Tor. Скрытый сервис защищает пользователей от вредоносных выходных узлов и атак, направленных на деанонимизацию.

Как настроить

1. Начните с загрузки cloudflared, следуя регулярному руководству по работе с DNS over HTTPS.
2. Запустите прокси-сервер Tor SOCKS и используйте socatдля пересылки порта TCP: 443 на localhost:

    socat TCP4-LISTEN:443,reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:443,socksport=9150
   

3. Попросите свой компьютер обрабатывать адрес .onion как localhost:

    cat << EOF > /etc/hosts
    127.0.0.1 dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion
    EOF
   

4. Наконец, запустите локальный DNS поверх UDP-демона:

    cloudflared proxy-dns --upstream "https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/dns-query"
    INFO[0000] Adding DNS upstream                           url="https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/dns-query"
    INFO[0000] Starting DNS over HTTPS proxy server          addr="dns://localhost:53"
    INFO[0000] Starting metrics server                       addr="127.0.0.1:35659"
   

5. Готово!

Спасибо, что читаете! Подписывайтесь на меня в социальных сетях Facebook, Twitter, VK, OK и мессенджерах Telegram и TamTam!

Читайте анонсы и посты целиком в ЖЖ, Medium, Голосе и Яндекс.Дзен!

Поддержите мой блог финансово. Все донаты пойдут на оплату хостинга и развитие сайта!