Сервер-докер-тор

qvp · 28.06.2025

Всем привет. Имею сервер, работает на докер. Установил на сервер тор. Через тор браузер доступ к серверу есть. Как мне сделать, что бы доступ был только с тор, а доступ с обычных браузеров по ip был не доступен. Т.е не хочу что бы ip был виден в сети.

Raskolnikov43 · 28.06.2025

qvp сказал(а):

Всем привет. Имею сервер, работает на докер. Установил на сервер тор. Через тор браузер доступ к серверу есть. Как мне сделать, что бы доступ был только с тор, а доступ с обычных браузеров по ip был не доступен. Т.е не хочу что бы ip был виден в сети.

Привет. Используешь Nginx?

nixz · 28.06.2025

qvp сказал(а):

Всем привет. Имею сервер, работает на докер. Установил на сервер тор. Через тор браузер доступ к серверу есть. Как мне сделать, что бы доступ был только с тор, а доступ с обычных браузеров по ip был не доступен. Т.е не хочу что бы ip был виден в сети.

Убери 0.0.0.0

qvp · 28.06.2025

Raskolnikov43 сказал(а):

Привет. Используешь Nginx?

Да, сервер под Ubuntu

qvp · 28.06.2025

nixz сказал(а):

Убери 0.0.0.0

Не понял

nixz · 28.06.2025

qvp сказал(а):

Не понял

все слушатели на локалхост настрой или закройся файрволом, хоть маршрутизатор перед хостом поставь

qvp · 28.06.2025

nixz сказал(а):

все слушатели на локалхост настрой или закройся файрволом, хоть маршрутизатор перед хостом поставь

через iptables можно это как то сделать?

nixz · 28.06.2025

qvp сказал(а):

через iptables можно это как то сделать?

Код:

iptables -A INPUT -p tcp --dport PORT --source IP -j ACCEPT
iptables -A INPUT -p tcp --dport PORT -j DROP

разрешение для одного ип/порта, остальных дроп

Bash:

#!/bin/bash

# Конфигурация
PORT=4444  # Укажите нужный порт
CHAIN_NAME="WHITELIST_$PORT"  # Имя цепи iptables
WHITELIST_FILE="whitelist.txt"  # Файл с разрешенными IP

# Проверяем, существует ли цепь, если нет - создаем
if ! iptables -L "$CHAIN_NAME" -n >/dev/null 2>&1; then
    iptables -N "$CHAIN_NAME"
    # Добавляем переход из INPUT в нашу цепь для указанного порта
    iptables -I INPUT -p tcp --dport "$PORT" -j "$CHAIN_NAME"
fi

# Очищаем текущие правила в цепи (но сохраняем саму цепь)
iptables -F "$CHAIN_NAME"

# Читаем whitelist
if [ -f "$WHITELIST_FILE" ]; then
    while read -r ip; do
        # Пропускаем пустые строки и комментарии
        [[ -z "$ip" || "$ip" =~ ^\s*# ]] && continue
        
        # Если найден 0.0.0.0 - разрешаем всем и удаляем цепь
        if [ "$ip" == "0.0.0.0" ]; then
            iptables -D INPUT -p tcp --dport "$PORT" -j "$CHAIN_NAME" 2>/dev/null
            iptables -X "$CHAIN_NAME" 2>/dev/null
            echo "Разрешен доступ ВСЕМ (0.0.0.0). Удалены все правила для порта $PORT."
            exit 0
        fi
        
        # Добавляем правило для IP
        iptables -A "$CHAIN_NAME" -p tcp --dport "$PORT" -s "$ip" -j ACCEPT
    done < "$WHITELIST_FILE"
else
    echo "Файл $WHITELIST_FILE не найден!"
    exit 1
fi

# В конце добавляем DROP для всех остальных
iptables -A "$CHAIN_NAME" -p tcp --dport "$PORT" -j DROP

# Выводим текущие правила для порта
echo "Текущие правила iptables для порта $PORT:"
iptables -L "$CHAIN_NAME" -n --line-numbers

nixz · 28.06.2025

qvp сказал(а):

через iptables можно это как то сделать?

Однако лучше все поднять на локалхосте, это можно сделать средствами конфигов программ слушающих у тебя порты

qvp · 28.06.2025

Уточнусь, юзаю сервер, без домена, просто вхожу в панель по ip адресу, софт выстроен на docker. Что бы не светить ip адрес, решил юзать панель через Tor, тор установлен и входит через выданный адрес. Хочу что бы IP адрес не светился, т.е доступ к серверу по ip был закрыт

nixz · 28.06.2025

qvp сказал(а):

Уточнусь, юзаю сервер, без домена, просто вхожу в панель по ip адресу, софт выстроен на docker. Что бы не светить ip адрес, решил юзать панель через Tor, тор установлен и входит через выданный адрес. Хочу что бы IP адрес не светился, т.е доступ к серверу по ip был закрыт

ну у тебя порт прокинутый докером в мир смотрит? на локалхост установи и поправь конфиг тора, натравив его на твой локальнохостящийся докер

qvp · 28.06.2025

nixz сказал(а):

ну у тебя порт прокинутый докером в мир смотрит? на локалхост установи и поправь конфиг тора, натравив его на твой локальнохостящийся докер

не могу на это ответить, я юзаю бот, где стучат юзеры в панель.

nixz · 28.06.2025

qvp сказал(а):

Уточнусь, юзаю сервер, без домена, просто вхожу в панель по ip адресу, софт выстроен на docker. Что бы не светить ip адрес, решил юзать панель через Tor, тор установлен и входит через выданный адрес. Хочу что бы IP адрес не светился, т.е доступ к серверу по ip был закрыт

или конкретно ко всему серверу ? чтобы ты заходил в веб/ссш не по ip а по domainekrlgrkle.onion:443 / domainekrlgrkle.onion:22 ?
панель чтоб не светилась в клире, а была только за тором или весь сервер вместе с докером за тор доменом?

qvp · 28.06.2025

nixz сказал(а):

или конкретно ко всему серверу ? чтобы ты заходил в веб/ссш не по ip а по domainekrlgrkle.onion:443 / domainekrlgrkle.onion:22 ?

да примерно так.

qvp · 28.06.2025

возможно надо крыть только контейнер докер

nixz · 28.06.2025

https://xss.pro/threads/91180/

https://xss.pro/threads/115707/

(+ обязателен первый комментарий)
или ставь перед сервером прокладку/маршрутизатор и подруби свой докер-сервер (перекройся iptables'ом) впном/сокатом/локальнойсетью/etc... к этой прокладке/маршрутизатору, на которой установи tor hidden service и сконфигурируй.

qvp · 28.06.2025

nixz сказал(а):

https://xss.pro/threads/91180/
https://xss.pro/threads/115707/
(+ обязателен первый комментарий)
или ставь перед сервером прокладку/маршрутизатор и подруби свой докер-сервер (перекройся iptables'ом) впном/сокатом/локальнойсетью/etc... к этой прокладке/маршрутизатору, на которой установи tor hidden service и сконфигурируй.

спс, тут мне конечно уж не разобратся

nixz · 28.06.2025

qvp сказал(а):

спс, тут мне конечно уж не разобратся

https://xss.pro/threads/132279/

https://xss.pro/threads/133353/

загрузил я тебя конкретно(
админ тебе нужен, хоть и это делается всё в два клика
потом можешь начать сомневаться в сетях провайдера (с последствиями для тор), в торе (2) потом в самом провайдере хоста (статьи Dread Pirate Roberts из его подписи: 1,2,3)

qvp · 28.06.2025

nixz сказал(а):

https://xss.pro/threads/132279/
https://xss.pro/threads/133353/
загрузил я тебя конкретно(
админ тебе нужен, хоть и это делается всё в два клика
потом можешь начать сомневаться в сетях провайдера (с последствиями для тор), в торе (2) потом в самом провайдере хоста (статьи Dread Pirate Roberts из его подписи: 1,2,3)

dd06ba78dd8d www_nginx_frontend "/docker-entrypoint.…" 3 hours ago Up 3 hours 0.0.0.0:80->80/tcp panel_nginx_frontend мне кажется вот контейнер отвечающий за панель. Возможно надо его порт менять, или черт знает. Я его останавливал, допуска нет как с тор адреса, так и с обычно браузера по ip

nixz · 28.06.2025

qvp сказал(а):

dd06ba78dd8d www_nginx_frontend "/docker-entrypoint.…" 3 hours ago Up 3 hours 0.0.0.0:80->80/tcp panel_nginx_frontend мне кажется вот контейнер отвечающий за панель. Возможно надо его порт менять, или черт знает. Я его останавливал, допуска нет как с тор адреса, так и с обычно браузера по ip

обрати внимание, это нужно перевести на использование локального хоста, 127.0.0.1->80, о чём я говорил третьим комментом

Сервер-докер-тор

(L1) cache

HDD-drive

(L3) cache

(L1) cache

(L1) cache

(L3) cache

(L1) cache

(L3) cache

(L3) cache

(L1) cache

(L3) cache

(L1) cache

(L3) cache

(L1) cache

(L1) cache

(L3) cache

(L1) cache

(L3) cache

(L1) cache

(L3) cache