Dav*_*vid 26 linux iptables tor
在 Linux 系统上,有没有办法阻止所有进出流量,除非它通过 Tor 网络。这包括任何形式的 IP 通信,而不仅仅是 TCP 连接。例如,我希望 UDP 被完全阻止,因为它不能通过 Tor。我希望这个系统的互联网使用完全匿名,我不希望任何应用程序泄漏。
我意识到这可能很复杂,因为 Tor 本身需要以某种方式与中继节点通信。
Mic*_*ton 27
使用 iptables 很容易。它可以有匹配特定用户的规则,你应该已经设置tor为在它自己的用户 ID 下运行;主要 Linux 发行版和 Tor 项目提供的 deb 和 rpm 包已经为 Tor 设置了一个用户。
完整的示例、可用的 iptables 和 Tor 配置如下。这个防火墙可以用iptables-restore命令加载。此配置的最终结果将透明地将所有源自主机或通过主机转发的流量路由到 Tor,而无需配置代理。这种配置应该是防漏的;虽然你当然应该彻底测试它。
请注意,tor 用户(此处为998)的 uid由 iptables 以数字形式存储。在此处出现的每个位置为您的 tor 用户替换正确的 uid。
另请注意,主机的 IP 地址需要在第一条规则中给出,以支持直接寻址到主机的传入 clearnet 和 LAN 流量(此处显示为198.51.100.212)。如果您有多个 IP 地址,请为每个地址重复该规则。
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 198.51.100.212/32 -j RETURN
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
-A OUTPUT -o lo -j RETURN
-A OUTPUT -m owner --uid-owner 998 -j RETURN
-A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: "
-A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: "
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT
-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: "
COMMIT
ssh INPUT 规则只允许通过本地主机到达的连接,即 Tor 隐藏服务。如果您还想通过 clearnet 允许传入的 ssh 连接,请删除-d 127.0.0.1.
对应的torrc文件是:
User toranon
SOCKSPort 9050
DNSPort 53
TransPort 49151
AutomapHostsOnResolve 1
此配置要求主机具有静态 IP 地址。对于预期的用例,您可能已经计划让它拥有静态 IP 地址。
最后,输出!
[root@unknown ~]# curl ifconfig.me
31.31.73.71
[root@unknown ~]# host 31.31.73.71
71.73.31.31.in-addr.arpa domain name pointer cronix.sk.
[root@unknown ~]# curl ifconfig.me
178.20.55.16
[root@unknown ~]# host 178.20.55.16
16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.