В системе Linux есть способ заблокировать весь входящий и исходящий трафик, если он не проходит через сеть Tor. Это включает в себя любую форму IP-связи, а не только TCP-соединения. Например, я хочу, чтобы UDP был полностью заблокирован, поскольку он не может проходить через Tor. Я хочу, чтобы использование этой системы в Интернете было полностью анонимным, и я не хочу утечки каких-либо приложений.
Я понимаю, что это может быть сложно, потому что сам Tor должен каким-то образом связываться с узлами ретрансляции.
Достаточно просто с iptables. У него могут быть правила, которые подходят конкретным пользователям, и вы уже должны были настроить tor запускаться под собственным идентификатором пользователя; Пакеты deb и rpm, предоставляемые основными дистрибутивами Linux и проектом Tor, уже настроили пользователя для Tor.
Полный пример, пригодные для использования iptables и конфигурации Tor приведены ниже. В этот брандмауэр можно загрузить iptables-restore команда. Конечный результат этой конфигурации будет прозрачно маршрутизировать все трафик, исходящий от хоста или перенаправляемый через него в Tor, без необходимости настройки прокси. Эта конфигурация должна быть герметичной; хотя вам, конечно, следует тщательно его протестировать.
Обратите внимание, что uid для пользователя tor (здесь 998) хранится в числовой форме в iptables. Подставляйте правильный uid для вашего пользователя tor в каждом месте, где он появляется здесь.
Также обратите внимание, что IP-адрес хоста должен быть указан в первом правиле для поддержки входящего трафика clearnet и LAN, адресованного непосредственно хосту (здесь показано как 198.51.100.212). Если у вас несколько IP-адресов, повторите правило для каждого адреса.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 198.51.100.212/32 -j RETURN
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
-A OUTPUT -o lo -j RETURN
-A OUTPUT -m owner --uid-owner 998 -j RETURN
-A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: "
-A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: "
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT
-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: "
COMMIT
Правило ssh INPUT разрешает соединения, только если они поступают через локальный хост, то есть через скрытую службу Tor. Если вы также хотите разрешить входящие ssh-соединения через clearnet, удалите -d 127.0.0.1.
Соответствующие torrc файл:
User toranon
SOCKSPort 9050
DNSPort 53
TransPort 49151
AutomapHostsOnResolve 1
Эта конфигурация требует, чтобы у хоста был статический IP-адрес. Для ожидаемых вариантов использования вполне вероятно, что вы уже запланировали, чтобы у него был статический IP-адрес.
И наконец, на выходе!
[root@unknown ~]# curl ifconfig.me
31.31.73.71
[root@unknown ~]# host 31.31.73.71
71.73.31.31.in-addr.arpa domain name pointer cronix.sk.
[root@unknown ~]# curl ifconfig.me
178.20.55.16
[root@unknown ~]# host 178.20.55.16
16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.