Как я могу заблокировать весь трафик * кроме * Tor?

В системе Linux есть способ блокировать весь входящий и исходящий трафик, если он не проходит через сеть Tor. Это включает в себя любую форму IP-связи, а не только TCP-соединения. Например, я хочу, чтобы UDP был полностью заблокирован, поскольку он не может проходить через Tor. Я хочу, чтобы использование этих систем в Интернете было полностью анонимным, и я не хочу, чтобы какие-либо приложения просочились.

Я понимаю, что это может быть сложно, потому что сам Tor должен каким-то образом взаимодействовать с ретрансляционными узлами.

Достаточно просто с iptables. У него могут быть правила, которые соответствуют конкретным пользователям, и вы должны уже настроить torзапуск под своим собственным идентификатором пользователя; Пакеты deb и rpm, предоставляемые основными дистрибутивами Linux, и Tor Project уже настроили пользователя для Tor.

Полный образец, используемые iptables и конфигурации Tor приведены ниже. Этот брандмауэр можно загрузить с помощью iptables-restoreкоманды. Конечный результат этой конфигурации будет прозрачно направлять весь трафик, исходящий от хоста Tor или пересылаемый через него, без необходимости настройки прокси-серверов. Эта конфигурация должна быть герметичной; хотя вы должны, конечно, тщательно его проверить.

Обратите внимание, что uid для пользователя tor (здесь 998) хранится в числовой форме в iptables. Замените правильный uid для своего пользователя tor в каждом месте, где оно появляется.

Также обратите внимание, что IP-адрес хоста должен быть указан в первом правиле для поддержки входящего трафика внешней сети и трафика локальной сети, адресованного непосредственно хосту (здесь показано как 198.51.100.212). Если у вас несколько IP-адресов, повторите правило для каждого адреса.

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 198.51.100.212/32 -j RETURN
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
-A OUTPUT -o lo -j RETURN
-A OUTPUT -m owner --uid-owner 998 -j RETURN
-A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: "
-A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: "
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT
-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: "
COMMIT

Правило ssh INPUT разрешает соединения, только если они приходят через локальный хост, то есть скрытый сервис Tor. Если вы также хотите разрешить входящие ssh-соединения через clearnet, удалите -d 127.0.0.1.

Соответствующий torrcфайл:

User toranon
SOCKSPort 9050
DNSPort 53
TransPort 49151
AutomapHostsOnResolve 1

Эта конфигурация требует, чтобы хост имел статический IP-адрес. Для ожидаемых вариантов использования вполне вероятно, что вы уже запланировали, чтобы он имел статический IP-адрес.

И наконец, выходной!

[root@unknown ~]# curl ifconfig.me
31.31.73.71
[root@unknown ~]# host 31.31.73.71
71.73.31.31.in-addr.arpa domain name pointer cronix.sk.
[root@unknown ~]# curl ifconfig.me
178.20.55.16
[root@unknown ~]# host 178.20.55.16
16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.