今年年初,我决定,运行TOR出口节点,所以我带来了VPS在hetzner.de (因为他们被列为一个好TOR ISP )设置一个每秒100Mbit /出口节点与昵称privacyresearch.infosecurity.ch的首款1TB的月度数据,然后10兆/秒平的连接。
它也可以运行TOR2WEB软件在http://tor.infosecurity.ch 。
我所建议的运行出口节点以最小的骚扰,并准备了一个滥用响应模板设置退出政策 。
在第一天,我一直在运行的节点i立即收到DMCA抱怨由于点对点交通。
所以我决定来过滤一些P2P流量使用OpenDPI的iptables模块和DMCA抱怨自动消失:
的iptables-A OUTPUT-M opendpi电驴gadugadu FastTrack网络GNUTELLA的DirectConnect,BitTorrent的WinMX的Soulseek的-J拒绝
然后,因为我是意大利人,我决定,以避免我的Tor节点连接到意大利的互联网地址空间,以减少的机会,一个愚蠢的检察官会醒来我在早晨,因为不明白,我运行一个Tor节点。
我试过了,的帮助的hellais写了一个脚本来使退出政策拒绝声明 ,拒绝上引发IOError blockfinder的所有意大利保留的网段,但是我们发现的torrc配置文件与+1000线的TOR崩溃。
我们去开出罚单报告关于我们国家试图阻止TOR出口政策坠毁,并发现了类似的尝试 ,我们贡献,但它似乎仍然是一个开放的问题。
得出的结论是,这是不可能的,使在清洁和礼貌的方式,所以我决定去肮脏的方式,通过使用iptables的/ geoip的国家退出政策TOR出口节点。 战斗后,使其正确编译,这是一行iptables来阻止意大利流量:
的iptables-A OUTPUT-P tcp-M的态-态NEW-M geoip的DST-CC-J REJECT
现在从我的退出节点意大利网络没有连接完成,我是安全的反对可能是愚蠢的检察官不理解职责范围(TOR节点的所有IP地址申请前我有一个例外)。
其他一些天之后,我开始接收抱怨由于源于我的Tor节点的端口扫描活动。
我想从我自己的角度来看,支持匿名的网络,而不是匿名黑客企图,所以我要过滤的端口扫描和攻击源于我node.That一个复杂的问题,需要一定的研究,所以在此期间,我安装scanlogd的并嗤之以鼻,因为我想评估多少攻击,这样的攻击都从我TOR出口节点。
后,我会尽量安排某种过滤,以确保能够筛选出主要攻击。
对于什么相关的端口扫描,似乎有没有公开的的传出端口扫描工具来检测和过滤,但过滤传入的端口扫描,所以可能会需要写的东西特设。
我会把事情进展如何,是否会有一些不错的snort的直列光波的方式选择性地过滤出主要攻击企图从我的退出节点的方式来实现。
我的目标是保持出口节点运行在长期(至少1TB的流量,每个月捐献给TOR)涉及到ISP的努力,减少抱怨,并试图尽我所能,合理的负债运行的退出节点。
一个评论
为什么你运行TOR如果您尝试过滤所有,你不明白什么是Tor,用你的行动,你只是弄脏。