Анонимность работы через Tor при ADSL

Если всё настроено правильно, то на DNS сервер провайдера ничего не идёт. Все DNS запросы tor проводит через свою сеть, утечки могут возникнуть между программой (браузер, файлокачалка) и tor при неправильной настройке. Чтобы это проверить, можно запустить программу сниффер, которая будет перехватывать tor пакеты и через DNS провайдера показывать начальные узлы TOR, с которыми вы соединяетесь. Это может проделать и провайдер или кто-либо на линии и это всё что он должен видеть.

Прописывать какой-либо другой DNS бессмысленно, так как запросы в виде утечки DNS могут быть перехвачены и к нему.

Можно конечно поднять локальный DNS сервер, в качестве которого может выступать сам настроенный tor-клиент и заворачивать все запросы в него с помощью файрволла, тогда вообще никаких утечек не будет. Но это реализовано только в Unix-версиях tor.

Можно конечно поднять локальный DNS сервер, в качестве которого может выступать сам настроенный tor-клиент и заворачивать все запросы в него с помощью файрволла, тогда вообще никаких утечек не будет. Но это реализовано только в Unix-версиях tor.

Идея заманчивая... А если предположить что у нас 2 юезра, user1 и user2. Надо сделать так, что весь трафик от user1 шёл напрямую в инет, а от user2 – через тор, причём лучше, чтобы из-под user2 вообще было нельзя узнать реальный IP компьютера и т.п. В принципе можно завернуть весь траф в стиле
pass on $if1 route-to ($if2 $IP2) proto tcp
(принудительный переборс трафика с одного интерфейса на другой), но как разделить раф по принадлежности к пользователю? Как более по уму эта задача решается? (ставить отдельну. машину, которая бы могла выходить лишь под тором на основе административного fw не хочется).

В iptables есть модуль owner, который позволяет задавать разные правила для разных юзеров (если пакеты локально генерятся от их имени на этой же машине разумеется).

Достаточно сделать редирект на разные DNS для разных юзеров. Как насчёт этого в BSD не могу сказать.

А Tor к серверам по именам или по IP-адресам обращается? Если второе, то в рутере можно вообще никакие DNS не указывать.

По IP. Но насчёт того, что в рутере не указывать вообще никакие DNS. Зависит от того как там всё настроено.

Возможно что пакеты с DNS пойдут по какому-нибудь адресу всё равно. Например будут перекидываться на адрес шлюза по умолчанию. В итоге DNS работать не будет, а утечка возможно происходить будет.

Как насчёт этого в BSD не могу сказать.

Блин... И так каждый раз. Все сговорились перейти с BSD на Linux :(

Ну по крайней мере для всех пользователей и в BSD можно:
Transparently Routing Traffic Through Tor

Спасибо. По поводу разделения траффика по пользователям ещё поспрашиваю народ.

privoxy всё фильтрует, про днс можно забыть, ничего никуда не утечёт. Для тестирования можно просто поднять privoxy без tor, в браузере прописать соответствующий локальный прокси, и посмотреть на результат ошибки при обращении к определенным сайтам.