Tunachukulia kuwa umesoma mwongozo wa rileina zingatio za kiufundi tayari.Ukurasa huu mdogo ni wa waendeshaji ambao wanataka kuwezesha kutoka kwenye rilei yao.
Inapendekezwa kwamba usanidi relay za kutoka kwenye seva zilizowekwa kwa madhumuni haya.
Haijapendekezi kusakinisha rilei za kutoka kwa Tor kwenye seva ambazo unahitaji kwa huduma zingine pia.
Usichanganye trafiki yako mwenyewe na trafiki yako ya rilei ya kutoka.
Badilisha rekodi za DNS na WHOIS
Kabla ya kugeuza rilei yako isiyo ya kutoka kuwa rilei ya kutoka, hakikisha kuwa umeweka rekodi ya DNS ya kinyume (PTR) ili kuifanya iwe dhahiri zaidi kuwa hii ni rilei ya kutoka. Kitu kama "tor-exit" kwa jina lake ni mwanzo mzuri.
Ikiwa mtoa huduma wako ataitoa hakikisha kuwa WHOIS rekodi yako ina dalili wazi kwamba hii ni rilei ya kutoka ya Tor.
Tumia jina la kikoa ambalo unamiliki. Bila shaka usitumie torproject.org
kama jina la kikoa kwa DNS yako ya kinyume.
Toka kwenye ukurasa wa notisi ya HTML
Ili kuifanya iwe wazi zaidi kuwa hii ni rilei ya kutoka ya Tor unapaswa kutoa ilani ya kutoka kwa ukurasa wa HTML wa Tor.
Tor inaweza kukufanyia hivyo: ikiwa DirPort yako iko kwenye bandari ya TCP 80, unaweza kutumia kipengele cha tor
's DirPortFrontPage ili faili ya HTML kwenye bandari hiyo.
Faili hii itaonyeshwa kwa mtu yeyote anayeelekeza kivinjari chake kwenye anwani yako ya IP ya rilei ya kutoka kwenye kisambazaji cha Tor.
Ikiwa hukuweka hii hapo awali, laini ifuatayo ya usanidi lazima itumike kwako torrc
:
DirPort 80
DirPortFrontPage /path/to/html/file
Tunatoa sampuli ya faili ya HTML ya notisi ya kutoka kwa Tor, lakini unaweza kutaka kuirekebisha kulingana na mahitaji yako.
Pia tuna chapisho kubwa la blogu lenye vidokezo vya kuendesha rilei ya kutoka.
Kumbuka DirtPort imeacha kutumika tangu Tor 0.4.6.5 na majaribio ya kibinafsi hayaonyeshwi tena kwenye kumbukumbu za tor
.
Kwa habari zaidi soma maelezo ya ufunguliaji na tiketi #40282.
Toka kwenye sera
Kufafanua sera ya kutoka ni mojawapo ya sehemu muhimu zaidi ya usanidi wa rilei ya kutoka.
Sera ya kutoka inabaini ni bandari zipi unazotaka kusambaza.
Hii ina athari kwa kiasi cha matumizi mabaya ya barua pepe utakazopata (njia chache humaanisha barua pepe za matumizi mabaya kidogo, lakini rilei ya kutoka inayoruhusu njia chache pekee pia haifai).
Ikiwa unataka kuwa rilei ya kutoka muhimu lazima angalau kubali bandari ya mwisho iliyolengwa 80 na 443.
Kama rilei mpya ya kutoka- haswa ikiwa wewe ni mgeni kwa mwenyeji wako - ni vizuri kuanza na sera iliyopunguzwa ya kuondoka (kupunguza idadi ya barua pepe za matumizi mabaya) na kuifungua zaidi kadiri unavyozidi kupata uzoefu.
Sera iliyopunguzwa ya kutoka inaweza kupatikana kwenye Sera iliyopunguzwa ya Kutoka ukurasa wa wiki.
Ili kuwa mabadiliko ya rilei ya kutoka ExitRelay kutoka 0 hadi 1 kwenye faili yako ya usanidi ya torrc
na uanzishe tena daemon ya tor
.
ExitRelay 1
DNS kwenye rilei za kutoka
Tofauti na aina zingine za rilei, rilei ya kutoka pia hufanya azimio la DNS kwa wateja wa Tor.
Azimio la Mfumo wa jina la kikoa kwenye rilei za kutoka ni muhimu kwa wateja wa Tor na inapaswa kuwa ya kuaminika na ya haraka kwa kutumia caching.
- Mchanganuo wa DNS unaweza kuwa na athari kubwa kwenye utendakazi na utegemezi ambao rilei yako ya kutoka huauni.
- Usitumie visuluhushi vyovyote vikubwa vya DNS (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6)kama kisuluhushi chako cha msingi au cha kurudi ya DNS ili kuzuia uwekaji kati.
- Tunapendekeza kuendesha akiba ya sehemu ya mahali hapo na kisuluhishi cha uthibitishaji wa DNSSEC bila kutumia visambaza data vyovyote (maagizo mahususi yafuate hapa chini, kwa mifumo mbalimbali ya uendeshaji).
- Ikiwa unataka kuongeza kisuluhishi cha DNS ya pili kama njia mbadala wa usanidi wa
/etc/resolv.conf
chagua kisuluhishi ndani ya mfumo wako unaojiendesha na uhakikishe kuwa si ingizo lako la kwanza katika faili hiyo (ingizo la kwanza linapaswa kuwa kisuluhishi chako cha sehemuya mahali yako).
- Ikiwa kisuluhishi cha sehemu hiyo kama vile kutofungamana sio chaguo kwako, tumia kisuluhishi ambacho mtoaji wako anaendesha katika mfumo sawa wa uhuru (ili kujua ikiwa anwani ya IP iko sawa na AS na upeanaji mkondo wako, unaweza kuitafuta kwa kutumia bgp .he.net).
- Epuka kuongeza zaidi ya visuluhushi viwili kwa faili yako
/etc/resolv.conf
ili kupunguza mfichuo wa kiwango cha AS wa maswali ya DNS.
- Hakikisha kuwa kisuluhishi chako cha ndani hakitumii anwani yoyote ya IP ya chanzo inayotoka ambayo inatumiwa na kutoka kwa Tor au kutotoka kwa sababu sio kawaida kwamba Tor IPs zimezuiwa (kwa muda) na anwani ya IP ya chanzo cha DNS ya kisuluhishi inaweza kuwa na athari kubwa.
Kwa unbound unaweza kutumia chaguo la
kiolesura-inachotoka
ili kubainisha anwani za IP za chanzo za kuwasiliana na seva zingine za DNS.
- Waendeshaji wakubwa wa kutoka (>=100 Mbit/s) wanapaswa kufanya juhudi kufuatilia na kuboresha kiwango cha muda wa kuisha kwa azimio la DNS la Tor.
Hii inaweza kuafikiwa kupitia kisafirishaji cha Prometheus ya Tor (
MetricsPort
).
Kipimo kifuatacho kinaweza kutumika kufuatilia kasi ya kuisha kama inavyoonekana na Tor:
tor_relay_exit_dns_error_total{reason="timeout"} 0
Kuna chaguo nyingi ya programu ya seva ya DNS. Unbound imekuwa
ni moja ya maarufu lakini jihisi huru kutumia programu nyingine yoyote ambayo umeridhishwa nayo.
Wakati unapochagua programu yako ya kisulihishi cha DNS, hakikisha kwamba inatumia uthibitishaji wa DNSSEC na upunguzaji wa QNAME (RFC7816).
Sanikisha programu ya kisuluhishi juu ya kidhibiti kifurushi cha mfumo wako wa uendeshaji ili kuhakikisha kuwa inasasishwa kiotomatiki.
Kwa kutumia kisuluhishi chako cha DNS, huwezi kuwa hatarini kwa udhibiti unaotegemea DNS ambao mtatuzi wako wa mkondo wa juu anaweza kuweka.
Yafuatayo ni maagizo ya jinsi ya kusakinisha na kusanidi Unbound - kitatuzi cha uthibitishaji na akiba cha DNSSEC - kwenye rilei yako ya kutoka. Unbound ina visu vingi vya usanidi na kurekebisha, lakini tunaweka maagizo haya rahisi na mafupi; usanidi wa kimsingi utafanya vizuri kwa waendeshaji wengi.
Baada ya kubadili hadi Unbound, thibitisha kuwa inafanya kazi inavyotarajiwa kwa kusuluhisha jina halali la mpangishaji. Ikiwa haifanyi kazi, unaweza kurejesha faili yako ya zamani ya /etc/resolv.conf
.
Debian/ Ubuntu
Amri zifuatazo zinasakinisha unbound
chelezo usanidi wako wa DNS na uambie mfumo utumie kisuluhishi cha mahali pale:
# apt install unbound
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Kuzuia mabadiliko ya usanidi usiyohitajika (kwa mfano na mteja wa DHCP):
# chattr +i /etc/resolv.conf
Usanidi wa Debian uliopelekwa na upunguzaji wa QNAME (RFC7816) unawezeshwa na chaguomsingi kwa hivyo hauhitaji kuiwezesha kiwazi.
Kisuluhushi cha Unbound ulichosakinisha pia hufanya uthibitishaji wa DNSSEC.
Ikiwa unaendesha systemd-resolved na mskilizaji wake mgumu utahitaji kufanya zaidi ya hayo. Tafadhali rejelea resolved.conf manpage.
CentOS/ RHEL
Sanikisha kifurushi cha unbound
:
# yum install unbound
Ikiwa unatumia toleo la hivi karibuni la CentOS/RHEL tafadhali tumia dnf
badala ya yum
.
Katika /etc/unbound/unbound.conf
badilisha laini hii:
qname-minimisation: no
na
qname-minimisation: yes
Wezesha na uanzishe unbound
:
# systemctl enable --now unbound
Ambia mfumo itumie kisuluhushi cha mahali pale:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Ili kuzuia mabadiliko ya usanidi usiyohitajika (kwa mfano na mteja wa DHCP):
# chattr +i /etc/resolv.conf
Ikiwa unaendesha systemd-resolved na mskilizaji wake mgumu utahitaji kufanya zaidi ya hayo. Tafadhali rejelea resolved.conf manpage.
FreeBSD
Meli za FreeBSD ambazo hazijafungwa katika mfumo wa msingi lakini ile iliyo kwenye bandari kawaida hufuata mkondo kwa karibu zaidi, kwa hivyo tunasakinisha kifurushi hakijafungwa:
# pkg install unbound
Badilisha maudhui katika /usr/local/etc/unbound/unbound.conf
na laini zifuatazo:
server:
verbosity: 1
qname-minimisation: yes
Wezesha na uanzishe huduma ya unbound
:
# sysrc unbound_enable=YES
# service unbound start
Ambia mfumo itumie kisuluhushi cha mahali pale:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
Ili kuzuia mabadiliko ya usanidi usiyohitajika (kwa mfano na mteja wa DHCP):
# chflags schg /etc/resolv.conf