Presupunem că ați citit deja ghidul releului și considerații tehnice. Această subpagină este destinată operatorilor care doresc să se întoarcă la ieșirea din releu.
Este recomandat să configurați relee de ieșire pe servere dedicate acestui scop.
Nu este recomandat să instalați relee de ieșire Tor pe serverele de care aveți nevoie și pentru alte servicii.
Nu amestecați propriul trafic cu traficul de relee de ieșire.
Înregistrarea DNS inversă și WHOIS
Înainte de a transforma releul fără ieșire într-un releu de ieșire, asigurați-vă că ați setat o înregistrare DNS inversă (PTR) pentru a face mai evident că acesta este un releu de ieșire al tor-ului. Ceva de genul "tor-exit" în numele său este un început bun.
Dacă furnizorul dumneaoastră îl oferă, asigurați-vă că înregistrarea dumneavoastră WHOIS conține indicații clare că acesta este un releu de ieșire Tor.
Utilizați un nume de domeniu pe care îl dețineți. Cu siguranta nu folositi torproject.org
ca nume de domeniu pentru DNS invers.
Pagina HTML a avizului de ieșire - Exit Notice
Pentru a face și mai evident că acesta este un releu de ieșire Tor, ar trebui să serviți o pagină HTML pentru avizul de ieșire Tor.
Tor poate face asta pentru dumneavoastră: dacă DirPort tău se află pe portul TCP 80, poți folosi caracteristica DirPortFrontPage a lui tor
pentru a afișa un fișier HTML pe acel port.
Acest fișier va fi afișat oricărei persoane care își direcționează browserul către adresa IP a releului de ieșire Tor.
Dacă nu ați configurat acest lucru înainte, următoarele linii de configurare trebuie aplicate la torrc
:
DirPort 80
DirPortFrontPage /path/to/html/file
Oferim un fișier HTML eșantion de ieșire Tor, dar s-ar putea dori să-l adapteze la nevoile dumneavoastră.
Avem, de asemenea, un post de blog mare, cu unele mai multe sfaturi pentru rularea unui releu de ieșire.
Notă: DirPort este depreciat de la versiunea Tor 0.4.6.5, iar auto-testarea nu este demonstrata pe jurnalele lui tor
.
Pentru mai multe informații citiți notele de lansare și biletul #40282.
Politica de Ieșire
Definirea politicii de ieșire este una dintre cele mai importante părți ale unei configurații a releului de ieșire.
Politica de ieșire definește porturile de destinație pe care doriți să le transmiteți.
Acest lucru are un impact asupra cantității de e-mailuri de abuz pe care le veți primi (mai puține porturi înseamnă mai puține e-mailuri de abuz, dar un releu de ieșire care permite doar câteva porturi este, de asemenea, mai puțin util).
Dacă doriți să fie un releu de ieșire util, trebuie să permiteți cel puțin porturile de destinație 80 și 443.
Dacă administrați un nou releu de ieșire - mai ales dacă sunteți nou ca gazdă - este bine să începeți cu o politică de ieșire redusă (pentru a reduce cantitatea de e-mailuri de abuz) și să o deschideți mai mult pe măsură ce veți deveni mai experimentat.
Politica de ieșire redusă poate fi găsită pe pagina wiki politica de ieșire redusă.
Pentru a deveni o schimbare a releului de ieșire ExitRelay de la 0 la 1 în fișierul de configurare torrc
și reporniți daemonul tor
.
ExitRelay 1
DNS pentru releele de ieșire
Spre deosebire de alte tipuri de relee, releele de ieșire fac și rezoluția DNS pentru clienții Tor.
Rezoluția DNS pe releele de ieșire este crucială pentru clienții Tor și ar trebui să fie fiabilă și rapidă prin utilizarea memoriei în cache.
- Rezoluția DNS poate avea un impact semnificativ asupra performanței și fiabilității oferite de releul dvs. de ieșire.
- Pentru a evita centralizarea, nu folosiți niciunul dintre marii rezolutori DNS (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6) ca rezolvator DNS principal sau de rezervă.
- Vă recomandăm să rulați o rezolvare locală de memorie în cache și de validare DNSSEC fără a utiliza niciun forwarder (mai jos urmează instrucțiuni specifice pentru diferite sisteme de operare).
- Dacă doriți să adăugați un al doilea resolver DNS ca rezervă la configurația dumneavoastră
/etc/resolv.conf
, alegeți un resolver în cadrul sistemului dumneavoastră autonom și asigurați-vă că nu este prima dumneavoastră intrare în acel fișier (prima intrare ar trebui să fie rezoluția dumneavoastră locală).
- Dacă nu ați ales o rezolvare locală nelegată, utilizați o rezolvare pe care furnizorul dvs. o rulează în același sistem autonom (pentru a afla dacă o adresă IP este în același AS ca și releul dvs., puteți căuta cu ajutorul bgp.he.net).
- Evitați să adăugați mai mult de doi rezolvitori la fișierul dumneavoastră
/etc/resolv.conf
pentru a limita expunerea la nivel AS a interogărilor DNS.
- Asigurați-vă că resolver-ul local nu utilizează nicio adresă IP sursă de ieșire care este utilizată de orice ieșire Tor sau de non-ieșiri, deoarece nu este neobișnuit ca IP-urile Tor să fie (temporar) blocate și o adresă IP sursă DNS blocată poate avea un impact larg.
Pentru unbound, puteți utiliza opțiunea
outgoing-interface
pentru a specifica adresele IP sursă pentru contactarea altor servere DNS.
- Operatorii mari de ieșire (>=100 Mbit/s) ar trebui să facă un efort pentru a monitoriza și optimiza rata de expirare a rezoluției DNS a Tor.
Acest lucru poate fi realizat prin intermediul exportatorului Prometeu al lui Tor (denumit în continuare
MetricsPort
).
Următoarea metrică poate fi utilizată pentru a monitoriza rata de temporizare, așa cum este văzută de Tor:
tor_relay_exit_dns_error_total{reason="timeout"} 0
Există mai multe opțiuni pentru software-ul serverului DNS. Nelegat a devenit
unul popular, dar nu ezitați să folosiți orice alt software cu care sunteți obișnuit.
Când alegeți software-ul dvs. de rezolvare DNS, asigurați-vă că acesta acceptă validarea DNSSEC și minimizarea QNAME (RFC7816).
Instalați software-ul de rezolvare pe managerul de pachete al sistemului dvs. de operare, pentru a vă asigura că acesta este actualizat automat.
Folosind rezolvatorul dvs. DNS, sunteți mai puțin vulnerabili la cenzura pe bază DNS pe care ar putea-o impune rezolvarea dvs. din amonte.
Mai jos sunt instrucțiuni despre cum să instalați și să configurați nelegat - un DNSSEC-validare și cache resolver - pe releul de ieșire. Nelegat are multe butoane de configurare și tuning, dar păstrăm aceste instrucțiuni simple și scurte; configurarea de bază va face bine pentru majoritatea operatorilor.
După trecerea la nelegat, verificați dacă funcționează așa cum era de așteptat prin rezolvarea unui nume de gazdă valabil. Dacă nu funcționează, puteți restaura fișierul vechi /etc/resolv.conf
.
Debian/Ubuntu
Următoarele comenzi instalează unbound
,faceți un backup de rezervă configurația DNS și spune sistemului să utilizeze resolver-ul local:
# apt install unbound
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Pentru a evita modificarea configurării nedorite (de exemplu, de către clientul DHCP):
# chattr +i /etc/resolv.conf
Configurația Debian se livrează cu minimizare QNAME (RFC7816) activată implicit, deci nu trebuie să o activați explicit.
Resolver-ul Unbound pe care tocmai ați instalat, de asemenea, face validarea DNSSEC.
Dacă rulați systemd-resolved cu ascultătorul său stub, poate fi necesar să faceți ceva mai mult decât atât. Vă rugăm să consultați pagina de manual resolved.conf.
CentOS/RHEL
Instalați pachetul unbound
:
# yum install unbound
Dacă utilizați o versiune recentă a CentOS/RHEL, vă rugăm să utilizați dnf
în loc de yum
.
În /etc/unbound/unbound.conf
înlocuiți linia:
qname-minimisation: no
cu
qname-minimisation: yes
Activați și porniți unbound
:
# systemctl enable --now unbound
Spuneți sistemului să utilizeze resolver-ul local:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Pentru a evita modificările nedorite ale configurației (de exemplu, de către clientul DHCP):
# chattr +i /etc/resolv.conf
Dacă rulați systemd-resolved cu ascultătorul său stub, poate fi necesar să faceți ceva mai mult decât atât. Vă rugăm să consultați pagina de manual resolved.conf.
FreeBSD
FreeBSD este livrat în sistemul de bază, dar cel din porturi urmează de obicei mai îndeaproape upstream, așa că instalăm pachetul unbound:
# pkg install unbound
Înlocuiți conținutul din /usr/local/etc/unbound/unbound.conf
cu următoarele linii:
server:
verbosity: 1
qname-minimisation: yes
Activați și porniți serviciul unbound
:
# sysrc unbound_enable=YES
# service unbound start
Spuneți sistemului să utilizeze resolver-ul local:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Pentru a evita modificările nedorite ale configurației (de exemplu, de către clientul DHCP):
# chflags schg /etc/resolv.conf