W systemie Linux istnieje sposób na zablokowanie całego ruchu przychodzącego i wychodzącego, chyba że przechodzi on przez sieć Tor. Obejmuje to każdą formę komunikacji IP, nie tylko połączenia TCP. Na przykład chcę, aby UDP był całkowicie zablokowany, ponieważ nie może przejść przez Tora. Chcę, aby korzystanie z Internetu przez te systemy było całkowicie anonimowe i nie chcę, aby jakieś aplikacje były nieszczelne.
Zdaję sobie sprawę, że może to być skomplikowane, ponieważ sam Tor musi jakoś komunikować się z węzłami przekaźnikowymi.
Odpowiedzi:
Łatwo z iptables. Może mieć reguły, które pasują do określonych użytkowników, i powinieneś już skonfigurować,
tor
aby działał pod własnym identyfikatorem użytkownika; pakiety deb i rpm dostarczane przez główne dystrybucje Linuksa, a Projekt Tor już skonfigurował użytkownika dla Tora.Poniżej podano pełną próbkę, użyteczne iptables i konfiguracje Tora. Zaporę tę można załadować za pomocą
iptables-restore
polecenia. Wynik końcowy tej konfiguracji będzie w sposób transparentny kierował cały ruch pochodzący z hosta lub przekazywany przez niego do Tora, bez konieczności konfigurowania serwerów proxy. Ta konfiguracja powinna być szczelna; choć oczywiście powinieneś to dokładnie przetestować.Zauważ, że identyfikator użytkownika dla użytkownika Tora (tutaj,
998
) jest przechowywany w postaci liczbowej przez iptables. Podaj poprawny identyfikator użytkownika dla swojego użytkownika Tor w każdym miejscu, w którym się tu pojawi.Należy również zauważyć, że adres IP hosta musi być podany w pierwszej regule, aby obsługiwać przychodzący ruch clearnet i LAN adresowany bezpośrednio do hosta (tutaj pokazany jako
198.51.100.212
). Jeśli masz wiele adresów IP, powtórz regułę dla każdego adresu.Reguła ssh INPUT zezwala na połączenia tylko wtedy, gdy przybywają za pośrednictwem lokalnego hosta, tj. Usługi ukrytej Tora. Jeśli chcesz zezwolić na przychodzące połączenia ssh przez clearnet, usuń
-d 127.0.0.1
.Odpowiedni
torrc
plik to:Ta konfiguracja wymaga, aby host miał statyczny adres IP. W przypadku oczekiwanych przypadków użycia prawdopodobnie zaplanowałeś już statyczny adres IP.
I wreszcie wynik!
źródło