Des services publics bloquent mon IP

Coucou !
À la maison, on héberge un nœud d’entrée et de transit Tor.

Et du coup plusieurs services publics bloquent notre IP. J’ai mis plusieurs semaines à faire le lien (rant masto).

Pourtant, comme expliqué dans le courrier que j’ai envoyé à la banque postale il y a 5-6 semaines :

Il existe plusieurs noeuds Tor aux fonctionnalités différentes : une distinction fondamentale, en ce qui vous concerne, est le type de relai.
Voici comment fonctionne une connexion entre un navigateur utilisant Tor et un site web :

Navigateur Tor → Noeud d’entrée → Noeud du milieu → Noeud de sortie → Site web

Ce sont les noeuds de sortie qui envoient le trafic sortant aux sites webs, comme https://labanquepostale.fr.
Le noeud hébergé chez moi est un noeud d’entrée/milieu, ce qui est vérifiable ici, catégorie « Exit Policy ».
C’est à dire qu’une personne utilisant le réseau Tor NE POURRA PAS se connecter à un site web via mon IP.

Donc se connecter à une banque, à pôle emploi, à FranceConnect+ (gee), c’est mort.

Et ça nous saoule vraiment de devoir se mettre en partage de connexion ou en VPN à chaque fois !

Sans crier à la discrimination volontaire, j’aimerais bien trouver un levier pour débloquer mon IP, et si possible, toutes les autres IPs de noeud d’entrée et de transit… Des avis ?

Merci :slight_smile:

Coucou Pomme,

Ça m’a l’air assez aventureux de toquer à la porte des services publics pour débloquer des nœuds Tor. Je ne suis pas sûr que ça soit du temps et de l’énergie efficacement investie :sweat_smile: D’autant plus que le contexte politique ne va pas du tout dans notre sens…

Cela dit je partage le constat. Je n’utilise pas Tor mais un service de VPN commercial, et de mémoire je suis bloqué par les services suivants :

  • assure.ameli.fr : ça timeout, comme si c’était une règle DROP dans iptables. Le seul moyen que je trouve pour accéder à ce service est d’utiliser une IP résidentielle.
  • https://www.conseil-constitutionnel.fr/ et https://www.conseil-etat.fr/ : là c’est plus aléatoire, selon l’IP de sortie que j’obtiens… J’obtiens une page « Accès refusé ».
  • Wikipédia (édition) : normal, il n’est pas possible d’éditer l’encyclopédie avec une IP VPN/Tor sans demander une exemption.

Point positif : je ne me souviens pas d’autres sites bloqués dont j’ai particulièrement besoin dans mon usage régulier du web, malgré les captchas plus fréquents selon les sites, et parfois des alertes de sécurité / contrôles d’identification plus fréquents. Après, j’utilise très peu de services de GAFAM et je pense que ça joue pas mal.

Ça ne répond pas à ta problématique des nœuds Tor, mais je peux te suggérer un dispositif pour te simplifier la vie pour contourner les blocages, peut-être plus pratique qu’un partage de connexion. Cela prérequiert d’avoir à ta disposition une machine qui utilise une IP non censurée en SSH* :

  1. Installer l’extension Firefox Multi-Accounts Containers, et autoriser l’extension à gérer les paramètres de proxy dans sa configuration
  2. Configurer un port forwarding avec ssh -D <PORT> <SERVEUR>
  3. Créer un nouveau conteneur dédié pour les sites bloqués
  4. Dans les paramètres proxy avancés de ce conteneur, saisir socks://127.0.0.1:<PORT>
  5. Te rendre sur le site à travers ce conteneur, et éventuellement le configurer pour qu’il s’ouvre toujours dans ce conteneur par défaut.

Toutes les connexions vers les sites ouverts dans ce conteneur transiteront via SSH vers la machine distante, très pratique pour éviter de couper les connexions existantes en changeant de co, et pour ne changer d’IP que pour certains sites et pas pour les autres.

* Il faut également que la configuration SSH de la machine distante autorise le port forwarding avec AllowTcpForwarding yes.

4 « J'aime »

Mais la réputation de mon IP est nickel sur abuseipdb et consorts punaiiise !
C’est sûr que je me prends des murs à toquer à leur porte.
Merci pour l’astuce, je connaissais pas cette extension. Ça marche super bien

1 « J'aime »

J’ai aussi un nœud Tor à la maison. Dans mon experience, c’est assez inutile de demander à ce genre de site de débloquer les IP, soit ils n’en ont pas la volonté, soit ils utilisent des blocklistes sur lesquels iels n’ont pas le contrôle. Trouver lesdites blocklistes est souvent laborieux, mais donne de meilleurs résultats. J’essayais de faire ça a une époque, mais j’ai un peu abandonné. Maintenant je passe en partage de connexion ou par un proxy privé quand j’ai besoin :slightly_frowning_face:

2 « J'aime »

A mon avis des emails aux adminsys peuvent mieux fonctionner (genre les adresses postmaster@ security@ , celles qui sont dans le whois etc.). Parce que clairement bloquer les nœuds Tor a peut être été approuvé par un N+1 pas trop technique, mais l’implémentation précise ce sont des adminsys qui le font et qui peuvent se rendre compte de l’absence de risque sur les nœuds intermédiaires.

2 « J'aime »

Avec des bridges on n’a généralement pas ce souci. Les bridge sont comme des relais sauf qu’ils ne sont pas annoncés dans l’annuaire public des noeuds Tor, ils sont distribués au compte-goutte avec différent mécanismes, pour éviter d’être censurés pendant le plus longtemps possible. Du coup faire tourner des bridges ça a pas exactement le même objectif que de faire tourner des relais : ils reçoivent généralement moins de traffic donc on peut considérer qu’ils sont moins « utiles » mais ils permettent parfois de débloquer des situations pour des gens qui n’auraient sinon pas eu accès au réseau Tor.