Доброго времени суток. В этой части поговорим про трафик, генерируемый различными приложениями, основными из них браузер и мессенджер. Мой метод основан на том, что необходимо экранировать трафик друг от друга. Много кто сидит в соц. сетях, ютубе, торрент трекерах и тд. Необходимо разделить этот трафик. Каждый браузер должен быть на отдельной ВМ с жесткими правилами. К примеру, я сижу в вк, и у меня правила в proxifier прописаны только для вк.
Для ютуба похожие правила.
Нужно понимать, что не все запросы нужны для приложения. Некоторые из них для рекламы, обновления и слежки. К примеру, для вайбера нужно заблокировать такие запросы в proxifier как: *.update.viber.com; *.ads.viber.com; *.market.viber.com.
Что мы имеем в итоге? Посещение сайтов, которые запущенные на разных машинах и имеют разные ip. Не секрет, что сайты введут логи, и в каждом логе вы будете под другой личностью. Нужно не иметь точек соприкосновения между сайтами. Это также защитит другие ВМ, если одна из них будет скомпрометирована злоумышленником.
Теперь поговорим по поводу торрентов. Торренты не следует гонять на трафике тор, это не рекомендуют делать разработчики, так как это засоряет сеть. Их можно перенаправлять на впн, однако, нечего страшного если он пойдет через ваш реальный ip. У торрента есть два вида трафика, один из них идет на трекер, для технической информации, а другой для скачивания файлов. И именно второй трафик нужно посылать через реальный ip. Как это сделать?
В target host написаны адреса трекеров, с которых вы качаете. Их и нужно пробрасывать через виртуальные роуторы. Остальной трафик торрента делаем напрямую.
Под ip адресом 192.168.9.1 находится шлюз для торрентов, он аналогичен шлюзу ext. Он также подключается к модему провайдера и имеет немного отличительные настройки файервола.
В первой статье я писал, что хост (гипервизор) не должен иметь доступа не к одной сети. Ну это в идеале. В противном случае есть вероятность того, что хост может быть скомпрометирован (к примеру, вам нужно где-то хранить скачанные торренты, в таком случае у ВМ должен быть доступ к шаре на хосте).
Для ютуба похожие правила.
Нужно понимать, что не все запросы нужны для приложения. Некоторые из них для рекламы, обновления и слежки. К примеру, для вайбера нужно заблокировать такие запросы в proxifier как: *.update.viber.com; *.ads.viber.com; *.market.viber.com.
Что мы имеем в итоге? Посещение сайтов, которые запущенные на разных машинах и имеют разные ip. Не секрет, что сайты введут логи, и в каждом логе вы будете под другой личностью. Нужно не иметь точек соприкосновения между сайтами. Это также защитит другие ВМ, если одна из них будет скомпрометирована злоумышленником.
Теперь поговорим по поводу торрентов. Торренты не следует гонять на трафике тор, это не рекомендуют делать разработчики, так как это засоряет сеть. Их можно перенаправлять на впн, однако, нечего страшного если он пойдет через ваш реальный ip. У торрента есть два вида трафика, один из них идет на трекер, для технической информации, а другой для скачивания файлов. И именно второй трафик нужно посылать через реальный ip. Как это сделать?
В target host написаны адреса трекеров, с которых вы качаете. Их и нужно пробрасывать через виртуальные роуторы. Остальной трафик торрента делаем напрямую.
Под ip адресом 192.168.9.1 находится шлюз для торрентов, он аналогичен шлюзу ext. Он также подключается к модему провайдера и имеет немного отличительные настройки файервола.
В первой статье я писал, что хост (гипервизор) не должен иметь доступа не к одной сети. Ну это в идеале. В противном случае есть вероятность того, что хост может быть скомпрометирован (к примеру, вам нужно где-то хранить скачанные торренты, в таком случае у ВМ должен быть доступ к шаре на хосте).