Претпостављамо да сте већ прочитали водич за релеје и техничке разматрања. Ова подстраница је за оператере који желе да укључе излаз на свом релеју.
Препоручује се да подесите излазне релеје на серверима посвећеним овој сврси.
Не препоручује се инсталирање Тор излазних релеја на серверима које користите за друге услуге.
Не мешајте свој саобраћај са саобраћајем вашег излазног релеја.
Reverse DNS и WHOIS запис
Пре него што претворите свој не-излазни релеј у излазни релеј, уверите се да сте поставили reverse DNS запис (PTR) како би било очигледније да је ово Тор излазни релеј. Нешто попут "tor-exit" у његовом имену је добар почетак.
Ако ваш провајдер нуди, уверите се да ваш WHOIS запис садржи јасне индикације да је ово Тор излазни релеј.
Користите домен који поседујете. Дефинитивно не користите torproject.org као домен за ваш reverse DNS.
HTML страница са обавештењем о излазу
Да би било још очигледније да је ово Тор излазни релеј, требало би да служите HTML страницу са обавештењем о Тор излазу.
Тор то може урадити за вас: ако је ваш DirPort на TCP порту 80, можете користити tor's DirPortFrontPage функцију да прикажете HTML датотеку на том порту.
Ова датотека ће бити приказана свима који усмере свој прегледач на вашу IP адресу Тор излазног релеја.
Ако ово нисте подесили раније, следеће конфигурационе линије морају бити примењене на ваш torrc:
DirPort 80
DirPortFrontPage /path/to/html/file
Нудимо пример HTML датотеке са обавештењем о Тор излазу, али можда ћете желети да је прилагодите својим потребама.
Такође имамо одличан блог пост са још неким саветима за управљање излазним релејем.
Напомена: DirPort је застарео од Тор 0.4.6.5, и само-тестови више нису приказани у tor's логовима.
За више информација прочитајте његове белешке о издању и тикет #40282.
Излазна политика
Дефинисање излазне политике је један од најважнијих делова конфигурације излазног релеја.
Излазна политика дефинише које одредишне портове сте спремни да проследите.
Ово има утицај на количину злоупотребних имејлова које ћете добити (мање портова значи мање злоупотребних имејлова, али излазни релеј који дозвољава само неколико портова је такође мање користан).
Ако желите да будете користан излазни релеј, морате барем дозволити одредишне портове 80 и 443.
Као нови излазни релеј - посебно ако сте нови код свог хостера - добро је почети са смањеном излазном политиком (да бисте смањили количину злоупотребних имејлова) и даље је отварати како постајете искуснији.
Смањена излазна политика се може наћи на Reduced Exit Policy вики страници.
Да бисте постали излазни релеј, промените ExitRelay са 0 на 1 у вашем torrc конфигурационом фајлу и поново покрените tor демона.
ExitRelay 1
DNS на излазним релејима
За разлику од других типова релеја, излазни релеји такође врше DNS резолуцију за Тор клијенте.
DNS резолуција на излазним релејима је кључна за Тор клијенте и треба да буде поуздана и брза коришћењем кеширања.
- DNS резолуција може значајно утицати на перформансе и поузданост коју ваш излазни релеј пружа.
- Немојте користити ниједан од великих DNS резолвера (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6) као ваш примарни или резервни DNS резолвер да бисте избегли централизацију.
- Препоручујемо покретање локалног кеширајућег и DNSSEC-валидационог резолвера без коришћења било каквих форвардера (специфична упутства следе у наставку, за различите оперативне системе).
- Ако желите да додате други DNS резолвер као резерву у вашу
/etc/resolv.conf конфигурацију, изаберите резолвер унутар вашег аутономног система и уверите се да није ваш први унос у том фајлу (први унос треба да буде ваш локални резолвер).
- Ако локални резолвер као што је unbound није опција за вас, користите резолвер који ваш провајдер покреће у истом аутономном систему (да бисте сазнали да ли је IP адреса у истом AS као и ваш релеј, можете је проверити користећи bgp.he.net).
- Избегавајте додавање више од два резолвера у ваш
/etc/resolv.conf фајл да бисте ограничили изложеност DNS упита на нивоу AS-а.
- Уверите се да ваш локални резолвер не користи било коју излазну изворну IP адресу коју користи било који Тор излазни или не-излазни релеј, јер није неуобичајено да Тор IP адресе буду (привремено) блокиране, а блокирана изворна IP адреса DNS резолвера може имати широк утицај.
За unbound можете користити опцију
outgoing-interface да бисте одредили изворне IP адресе за контакт са другим DNS серверима.
- Велики оператери излазних релеја (>=100 Mbit/s) треба да се потруде да прате и оптимизују Тор-ову стопу истека времена DNS резолуције.
Ово се може постићи преко Тор-овог Prometheus извозника (
MetricsPort).
Следећа метрика се може користити за праћење стопе истека времена како је види Тор:
tor_relay_exit_dns_error_total{reason="timeout"} 0
Постоји више опција за DNS сервер софтвер. Unbound је постао
популаран, али слободно користите било који други софтвер са којим се осећате пријатно.
Приликом избора вашег DNS резолвер софтвера, уверите се да подржава DNSSEC валидацију и QNAME минимизацију (RFC7816).
Инсталирајте резолвер софтвер преко менаџера пакета вашег оперативног система, да бисте осигурали да се аутоматски ажурира.
Коришћењем сопственог DNS резолвера, мање сте подложни цензури заснованој на DNS-у коју ваш узводни резолвер може наметнути.
Испод су упутства како да инсталирате и конфигуришете Unbound - DNSSEC-валидациони и кеширајући резолвер - на вашем излазном релеју. Unbound има много конфигурационих и подешавајућих опција, али ми држимо ова упутства једноставним и кратким; основна подешавања ће бити довољна за већину оператера.
Након преласка на Unbound, проверите да ли ради како се очекује решавањем важећег имена хоста. Ако не ради, можете вратити ваш стари /etc/resolv.conf фајл.