David Asked: 2012-10-03 03:45:05 +0800 CST2012-10-03 03:45:05 +0800 CST 2012-10-03 03:45:05 +0800 CST 我怎样才能阻止所有流量*除了* Tor? 772 在 Linux 系统上,有没有办法阻止所有进出流量,除非它通过 Tor 网络。这包括任何形式的 IP 通信,而不仅仅是 TCP 连接。例如,我希望 UDP 被完全阻止,因为它无法通过 Tor。我希望这个系统的互联网使用是完全匿名的,我不希望任何应用程序泄露。 我意识到这可能很复杂,因为 Tor 本身需要以某种方式与中继节点通信。 linux iptables tor 1 个回答 Voted Best Answer Michael Hampton 2012-10-03T03:59:40+08:002012-10-03T03:59:40+08:00 使用 iptables 很容易。它可以有匹配特定用户的规则,你应该已经设置tor为在它自己的用户ID下运行;主要 Linux 发行版和 Tor 项目提供的 deb 和 rpm 包已经为 Tor 设置了一个用户。 完整的示例、可用的 iptables 和 Tor 配置如下。这个防火墙可以用iptables-restore命令加载。此配置的最终结果将透明地将所有源自主机或通过主机转发的流量路由到 Tor,而无需配置代理。这种配置应该是防漏的;尽管您当然应该彻底测试它。 请注意,tor 用户的 uid(此处为998)由 iptables 以数字形式存储。在此处出现的每个地方为您的 tor 用户替换正确的 uid。 另请注意,主机的 IP 地址需要在第一条规则中给出,以支持直接寻址到主机的传入 clearnet 和 LAN 流量(此处显示为198.51.100.212)。如果您有多个 IP 地址,请为每个地址重复该规则。 *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -d 198.51.100.212/32 -j RETURN -A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151 -A OUTPUT -o lo -j RETURN -A OUTPUT -m owner --uid-owner 998 -j RETURN -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151 COMMIT *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT -A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: " -A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: " -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT -A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT -A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: " COMMIT ssh INPUT 规则只允许通过本地主机到达的连接,即 Tor 隐藏服务。如果您还想允许通过 clearnet 的传入 ssh 连接,请删除-d 127.0.0.1. 对应torrc文件为: User toranon SOCKSPort 9050 DNSPort 53 TransPort 49151 AutomapHostsOnResolve 1 此配置要求主机具有静态 IP 地址。对于预期的用例,您可能已经计划为其使用静态 IP 地址。 最后,输出! [root@unknown ~]# curl ifconfig.me 31.31.73.71 [root@unknown ~]# host 31.31.73.71 71.73.31.31.in-addr.arpa domain name pointer cronix.sk. [root@unknown ~]# curl ifconfig.me 178.20.55.16 [root@unknown ~]# host 178.20.55.16 16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.
使用 iptables 很容易。它可以有匹配特定用户的规则,你应该已经设置
tor为在它自己的用户ID下运行;主要 Linux 发行版和 Tor 项目提供的 deb 和 rpm 包已经为 Tor 设置了一个用户。完整的示例、可用的 iptables 和 Tor 配置如下。这个防火墙可以用
iptables-restore命令加载。此配置的最终结果将透明地将所有源自主机或通过主机转发的流量路由到 Tor,而无需配置代理。这种配置应该是防漏的;尽管您当然应该彻底测试它。请注意,tor 用户的 uid(此处为
998)由 iptables 以数字形式存储。在此处出现的每个地方为您的 tor 用户替换正确的 uid。另请注意,主机的 IP 地址需要在第一条规则中给出,以支持直接寻址到主机的传入 clearnet 和 LAN 流量(此处显示为
198.51.100.212)。如果您有多个 IP 地址,请为每个地址重复该规则。ssh INPUT 规则只允许通过本地主机到达的连接,即 Tor 隐藏服务。如果您还想允许通过 clearnet 的传入 ssh 连接,请删除
-d 127.0.0.1.对应
torrc文件为:此配置要求主机具有静态 IP 地址。对于预期的用例,您可能已经计划为其使用静态 IP 地址。
最后,输出!