Ми припускаємо, що ви вже прочитали посібник з реле і технічні міркування. Ця підсторінка призначена для операторів, які хочуть увімкнути вихід на своєму реле.
Рекомендується налаштувати вихідні реле на серверах, призначених для цієї мети.
Не рекомендується встановлювати реле виходу Tor на серверах, які також потрібні для інших служб.
Не змішуйте свій власний трафік із трафіком вихідної ретрансляції.
Зворотний запис DNS і WHOIS
Перш ніж перетворити невихідний ретранслятор на вихідний ретранслятор, переконайтеся, що ви встановили зворотний запис DNS (PTR), щоб було очевидніше, що це ретранслятор виходу tor. Щось на кшталт «tor-exit» у його назві — хороший початок.
Якщо ваш провайдер пропонує це, переконайтеся, що ваш запис WHOIS містить чіткі вказівки на те, що це реле виходу Tor.
Використовуйте доменне ім’я, яким ви володієте. Категорично не використовуйте torproject.org як доменне ім’я для свого зворотного DNS.
Вихід із HTML-сторінки повідомлення
Щоб зробити ще більш очевидним, що це ретранслятор виходу Tor, вам слід розмістити HTML-сторінку повідомлення про вихід Tor.
Tor може зробити це за вас: якщо ваш DirPort знаходиться на порту TCP 80, ви можете скористатися функцією DirPortFrontPage**tor` для відображення файлу HTML на цьому порту.
Цей файл буде показано кожному, хто спрямує свій браузер на вашу IP-адресу вихідного реле Tor.
Якщо ви не налаштували це раніше, наступні рядки конфігурації повинні бути застосовані до вашого torrc:
DirPort 80
DirPortFrontPage /path/to/html/file
Ми пропонуємо зразок HTML-файлу сповіщення про вихід із Tor, але ви можете його налаштувати для ваших потреб.
У нас також є чудова публікація в блозі з додатковими порадами щодо запуску реле виходу.
Примітка: DirPort застарів з Tor 0.4.6.5, і самоперевірки більше не відображаються в журналах tor.
Для отримання додаткової інформації прочитайте його примітки до випуску і квиток №40282.
Політика виходу
Визначення політики виходу є однією з найважливіших частин конфігурації реле виходу.
Політика виходу визначає, які порти призначення ви бажаєте перенаправити.
Це впливає на кількість електронних листів із порушеннями, які ви отримуватимете (менша кількість портів означає менше електронних листів із порушеннями, але реле виходу, яке дозволяє лише кілька портів, також менш корисне).
Якщо ви хочете бути корисним ретранслятором виходу, ви повинні принаймні дозволити порти призначення 80 і 443.
Як новий реле виходу - особливо якщо ви новачок у своєму хостері - добре почати зі скороченої політики виходу (щоб зменшити кількість електронних листів з порушеннями) і далі розширювати її, коли ви станете більш досвідченим.
Політику скороченого виходу можна знайти на вікі-сторінці Політика скороченого виходу.
Щоб стати реле виходу, змініть ExitRelay з 0 на 1 у файлі конфігурації torrc і перезапустіть демон tor.
ExitRelay 1
DNS на вихідних ретрансляторах
На відміну від інших типів ретрансляторів, ретранслятори виходу також виконують роздільну функцію DNS для клієнтів Tor.
Роздільна здатність DNS на вихідних ретрансляторах має вирішальне значення для клієнтів Tor, і вона має бути надійною та швидкою за допомогою кешування.
- Роздільна здатність DNS може мати значний вплив на продуктивність і надійність, яку забезпечує вихідний реле.
- Не використовуйте жодного великого DNS-розпізнувача (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6) як основного або резервного DNS-розпізнувача, щоб уникнути централізації.
- Ми рекомендуємо запускати локальне кешування та резолвер перевірки DNSSEC без використання будь-яких пересилачів (нижче наведено спеціальні інструкції для різних операційних систем).
- Якщо ви бажаєте додати другий DNS-розпізнавач як альтернативу конфігурації
/etc/resolv.conf, виберіть розпізнавач у вашій автономній системі та переконайтеся, що це не ваш перший запис у цьому файлі (перший запис має бути вашим локальним розв'язувачем).
- Якщо локальний розпізнавач, як-от неприв’язаний, для вас не підходить, використовуйте розпізнавач, який ваш постачальник запускає в тій самій автономній системі (щоб дізнатися, чи IP-адреса знаходиться в тій самій AS, що й ваш ретранслятор, ви можете знайти її за допомогою bgp.he.net).
- Уникайте додавання більше ніж двох резолверів до вашого файлу
/etc/resolv.conf, щоб обмежити доступ DNS-запитів на рівні AS.
- Переконайтеся, що ваш локальний резолвер не використовує будь-яку вихідну IP-адресу джерела, яка використовується будь-яким виходом або невиходом Tor, тому що нерідко IP-адреси Tor (тимчасово) блокуються, а заблокована IP-адреса джерела DNS-резолвера може мати широке значення. вплив.
Для unbound ви можете використовувати опцію
outgoing-interface, щоб вказати вихідні IP-адреси для зв’язку з іншими DNS-серверами.
- Великі оператори виходу (>=100 Мбіт/с) повинні докласти зусиль для моніторингу та оптимізації часу очікування дозволу DNS у Tor.
Це можна зробити за допомогою експортера Prometheus від Tor (
MetricsPort).
Наступну метрику можна використовувати для моніторингу часу очікування, як це бачить Tor:
tor_relay_exit_dns_error_total{reason="timeout"} 0
Існує кілька варіантів програмного забезпечення DNS-сервера. Незв’язаний став
популярне, але сміливо використовуйте будь-яке інше програмне забезпечення, яке вам зручно.
Вибираючи програмне забезпечення для розпізнавання DNS, переконайтеся, що воно підтримує перевірку DNSSEC і мінімізацію QNAME (RFC7816).
Установіть програмне забезпечення розв’язувача поверх менеджера пакунків вашої операційної системи, щоб забезпечити його автоматичне оновлення.
Використовуючи свій власний DNS-розпізнавач, ви менш вразливі до цензури на основі DNS, яку може накласти ваш вихідний розпізнавач.
Нижче наведено вказівки щодо встановлення та налаштування Unbound — розв’язувача перевірки DNSSEC і кешування — на вихідному реле. У Unbound є багато ручок конфігурації та налаштування, але ми зберігаємо ці інструкції простими та короткими; базове налаштування підійде більшості операторів.
Після перемикання на Unbound переконайтеся, що він працює належним чином, розпізнавши дійсне ім’я хоста. Якщо це не працює, ви можете відновити старий файл /etc/resolv.conf.