Como posso bloquear todo o tráfego *, exceto * Tor?

Em um sistema Linux, existe uma maneira de bloquear todo o tráfego de entrada e saída, a menos que ele passe pela rede Tor. Isso inclui qualquer forma de comunicação IP, não apenas as conexões TCP. Por exemplo, quero que o UDP seja completamente bloqueado, pois não pode passar pelo Tor. Eu quero que esse uso da Internet do sistema seja totalmente anônimo e não quero que nenhum aplicativo vaze.

Sei que isso pode ser complicado porque o próprio Tor precisa se comunicar com os nós de retransmissão de alguma forma.

Fácil o suficiente com iptables. Ele pode ter regras que correspondem a usuários específicos e você já deve ter configurado torpara executar com seu próprio ID de usuário; Os pacotes deb e rpm fornecidos pelas principais distribuições Linux e o Projeto Tor já configuram um usuário para o Tor.

A seguir, amostra completa, iptables utilizáveis ​​e configurações Tor. Esse firewall pode ser carregado com o iptables-restorecomando O resultado final dessa configuração roteará de forma transparente todo o tráfego originado ou encaminhado pelo host para o Tor, sem a necessidade de configurar proxies. Essa configuração deve ser à prova de vazamentos; embora você deva testá-lo completamente.

Observe que o uid para o usuário tor (aqui 998) é armazenado em formato numérico pelo iptables. Substitua o uid correto para o seu usuário tor em cada lugar que ele aparecer aqui.

Observe também que o endereço IP do host precisa ser fornecido na primeira regra para oferecer suporte ao tráfego de clearnet e LAN recebido endereçado diretamente ao host (aqui mostrado como 198.51.100.212). Se você tiver vários endereços IP, repita a regra para cada endereço.

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 198.51.100.212/32 -j RETURN
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
-A OUTPUT -o lo -j RETURN
-A OUTPUT -m owner --uid-owner 998 -j RETURN
-A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: "
-A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: "
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT
-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: "
COMMIT

A regra ssh INPUT somente permite conexões se elas chegarem pelo host local, ou seja, um serviço oculto do Tor. Se você também deseja permitir conexões ssh recebidas via clearnet, remova -d 127.0.0.1.

O torrcarquivo correspondente é:

User toranon
SOCKSPort 9050
DNSPort 53
TransPort 49151
AutomapHostsOnResolve 1

Essa configuração requer que o host tenha um endereço IP estático. Para os casos de uso esperados, é provável que você já tenha planejado que ele tenha um endereço IP estático.

E, finalmente, a saída!

[root@unknown ~]# curl ifconfig.me
31.31.73.71
[root@unknown ~]# host 31.31.73.71
71.73.31.31.in-addr.arpa domain name pointer cronix.sk.
[root@unknown ~]# curl ifconfig.me
178.20.55.16
[root@unknown ~]# host 178.20.55.16
16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.