Z principů podpory soukromí na internetu, na všech místech, kde mám pod kontrolou veřejnou IP adresu, provozuji TOR relay (non-exit node). To znamená, že přes danou IP adresu protéká šifrovaný provoz v TOR síti, tj. přes ni začíná nebo prochází. Nemám odvahu provozovat exit node, tj. poslední bod, ze kterého už dochází ke spojení k cílovým serverům, protože to je mnohem rizikovější a dříve nebo později se začnou objevovat obvinění z toho, že z dané adresy jsou různé servery napadány, poskytovatelé internetu chtějí daného zákazníka odstřihnout apod. IP adresy nodů, které nejsou těmi exitovými, by vůbec neměly být vidět v logu serverů, na které jsou vedeny DDoS útoky apod., a neměl by být důvod tyto IP adresy blokovat.
Někteří poskytovatelé internetu a webhostingu přesto blokují i tyto IP adresy. Pro mě to je naprosto nepřípustné jednání, které handicapuje ty, kteří chtějí přispět k ochraně soukromí a svobody těm, kteří například žijí v zemích, kde probíhá cenzura internetu, nebo jen zkrátka nechtějí na internetu vyzrazovat svoji skutečnou IP adresu a nechtějí platit za komerční VPN. Ne každý používá TOR jen k prodeji zbraní, heroinu či falešných dokladů. Tak jako tak, co má běžný webhostingový provider co určovat, jestli zákazník podporující TOR má nebo nemá mít přístup na webové stránky, které provider hostuje? Bohužel se ale tak občas děje. Přístup na web dlouhodobě blokuje bazos.cz, kde s tím nehodlají ani nic dělat, po stížnosti následovala odpověď:
Dobry den,
ano bohuzel na dane ip adrese je provozovana sit TOR, jako takova je blokovana.
S pozdravem
Radim Smicka
www.bazos.cz
radim.smicka@bazos.cz
a teď jsem zjistil, že se už nedostaneme ani na weby (přes běžný browser a protokol HTTP!), které si platíme a provozujeme u jedničky českého webhostingu, WEDOS.cz.
brozkeff@dorjelegpa ~ $ traceroute example.com traceroute to example.com (xx.xx.xx.xx), 30 hops max, 60 byte packets 1 gateway (192.168.12.254) 0.274 ms 0.212 ms 0.167 ms 2 81.19.11.1 (81.19.11.1) 0.583 ms 0.578 ms 0.558 ms 3 junon.faster.cz (81.19.0.234) 1.012 ms 0.891 ms 0.980 ms 4 te5-9.cr3.r3-1-4.dc3.cejl.brq.masterinter.net (81.31.40.149) 0.941 ms 1.091 ms 1.086 ms 5 vl1385.cr2.c16.127.cecolo.prg.masterinter.net (83.167.254.154) 4.276 ms 4.552 ms 4.553 ms 6 nix-sitel.kaora.cz (91.210.16.41) 4.527 ms 4.471 ms 4.636 ms 7 wedos-sitel.kaora.cz (94.124.104.78) 4.867 ms 5.074 ms 5.783 ms 8 r10-b.wedos.net (46.28.104.34) 7.003 ms 6.734 ms 6.777 ms 9 * * * 10 * * * 11 * * *
Při připojení z jiné IP, nebo přes VPS, vše krásně funguje.
Na stížnost na support Wedosu přišla reakce:
Routování je v pořádku, nicméně IP adresa xx.xx.xx.xx byla zablokována z důvodu podezřelého provozu. Je toto Vaše soukromá IP adresa, či se jedná o nějaký nAT poskytovatele?
Po odpovědi, že jde o vlastní veřejnou IP adresu a doplnění i informace, že na IP běží TOR non-exit relay, ale nejsme si vědomi, že by jakékoli útoky z IP vedly na servery Wedosu:
děkuji za vyjádření. IP se nyní delistuje, do několika minut by měla být opět volná.
Situaci budeme nadále sledovat, pokud by z IP docházelo k nějaké závadné činnosti, musela by být opět zablokována.
Druhý den opět weby nefungovaly. Moje odpověď:
Stále se nemohu na naše vlastní weby připojit, musím používat VPN.
Žádám o konkrétní data o tom, co se z naší IP adresy vůči serverům Wedosu děje ideálně včetně logů, povhybuji, že od nás míří na Wedos nějaký DDoS útok apod. Všechny ostatní weby i internetové služby nám normálně fungují.
Pokud se situace promptně nevyřeší včetně trvalého odblokování a vysvětlení, nezbyde mi nic jiného, než všechny webhostingy okamžitě od Wedosu migrovat na jiného provozovatele. Pokud stejně blacklistujete i tisíce dalších uživatelů, že si ani nenačtou web, mám obavu o reálnou dostupnost našich webů u našich vlastních zákazníků.
Reakce, která konečně prozradila, že Wedos používá plošný blacklist na všechny, co provozují TOR relayem, a nikoli jen ty, kteří aktivně na servery Wedosu útočí (sic!):
Dobrý den,
zkuste nyní. Objevili jsme IP ještě v jednom seznamu TORů.
S přáním hezkého dne,
Jan Vendl
WEDOS Internet, a.s.
Dvakrát urgovat, aby webhostingový provider č. 1 v ČR se uráčil whitelistovat IP adresu, na který běží neškodný TOR relay, co není exit-nodem, a vůbec jsem si mohl prohlédnout weby, za které platím, je pro mě naprosto skandální a nepřijatelné. Weby v nejbližším možném termínu chci migrovat jinam, všechny, kteří máte weby a VPSky u Wedosu, vyzývám, ať Wedos bojkotujete a přejdete jinam, a dáte mu jasně najevo, že tohle je z pohledy podpory práva na soukromí zcela neakceptovatelné chování. Uvažujte jen o tom, kolik uživatelů vašich webů hostovaných na Wedosu si stránky možná vůbec neotevře (bez varování, stránka se prostě jen nenačítá), jen proto, že možná provozují TOR node, nebo snad jen používají Bittorrent, nebo snad Teamspeak server, nebo Bitcoin full node, nebo nějakou jinou službu, kterou se webhostingová firma rozhodne zrovna zablokovat od přístupu k jimi hostovaným webům – aniž by daná IP adresa aktivně prováděla nějaké útoky na jejich síť.
Wedos.cz si tímto přístupem koleduje o diamantový bludný balvan, tedy pardon, zvláštní cenu Big Brother Awards, pro opovrhování právem na soukromí jedince tím, že aktivně handicapuje všechny, kteří se dobrovolně rozhodnou věnovat svou konektivitu na služby umožňující jakous takous anonymitu ve formě provozování TOR relay nodu.
Souhlasím že Tor relay může zapříčinit, že některé webové servery na internetu vám odmítnou přístup. Je možné, že ty webové servery nepoužívají přímo seznam IP adres Tor sítě, ale nějaký externí blocklist https://iplists.firehol.org/
Pak by bylo možná dobré kontaktovat majitele blocklistu a alespoň se pokusit vysvětlit proč by měli rozlišovat relay a exit nody.
Jinak je hezké od W€dosu že se alespoň snažil o náípravu. Myslím si že od leckajkého jiného providera by se člověk možná nedočkal anit toho. Prostě pokud chcete podpořit Tor síť, tak nastavit speciální server (virtuální je levný od třeba 30Kč měsíčně – lowendtalk.com) jen pro Tor a podobné služby (třeba ZeroNet – https://ceskeforum.com/viewtopic.php?f=158&t=8010 ).
Díky za článek, poslední týden jsem měl podobné problémy. Myslel jsem, že mají jenom výpadky, ale vypadá to spíš na tuhle blokaci, protože mi nefunguje připojení jenom z IP, kterou používám z domu, když přejdu na data na mobilu, všechno jede v pořádku.
Dneska jsem posílal dotaz na podporu, úplně mě asi nepochopili ale pokud budu mít víc info, dám pak vědět jak se vyjádřili k mé situaci.