我們假設您已經通讀了 relay guidetechnical considerations。此子頁面適用於想要在其中繼上開啟退出功能的操作員。

建議您在專為此用途配置的伺服器上設置出口中繼點。 不建議在您還需要其他服務的伺服器上安裝 Tor 出口中繼。 請勿將您自己的流量與出口中繼流量混用。

反向 DNS 和 WHOIS 記錄

在將非出口中繼轉為出口中繼之前,請確保已設置反向 DNS 記錄 (PTR) 以使其更明顯地表示為 Tor 出口中繼。 名稱出現 “tor-exit”之類字眼是好的開始。

如果您的提供者提供此服務,請確保您的 WHOIS 記錄包含明確的指示,表明這是 Tor 出口中繼。

請使用您擁有的網域名稱。絕對不要使用 torproject.org 作為反向 DNS 的網域名稱。

退出通知 HTML 頁面

為了更明顯地表明這是 Tor 退出中繼,您應該提供 Tor 退出通知 HTML 頁面。 Tor 可以做到這一點:如果 DirPort 在 TCP 端口 80 ,可使用 torDirPortFrontPage 功能在該端口上顯示 HTML 檔案。 該文件將向任何將瀏覽器定向到您的 Tor 出口中繼 IP 位址的人顯示。

如果您之前沒有進行過設置,則必須將以下配置行套用至您的 torrc

DirPort 80
DirPortFrontPage /path/to/html/file

我們提供 sample Tor exit notice HTML file,但您可能需要根據需要進行調整。

我們還有一篇很棒的博文,其中包含更多 tips for running an exit relay

注意:DirPort 自 Tor 0.4.6.5 起已棄用,且 tor 的日誌中不再顯示自我測試結果。 更多資訊請閱讀其 release notesticket #40282

出口節點政策

定義退出策略是退出中繼配置中最重要的部分之一。 退出策略定義您願意轉送哪些目標連接埠。 這會影響收到的濫用電子郵件數量(通常端口越少濫用電子郵件也越少,但僅允許少數端口的出口中繼較無效)。 如果您想成為有用的出口中繼,您必須至少允許目標連接埠 80 和 443

作為新的出口中繼 - 尤其如果您才剛使用此託管商 - 一開始最好先減少出口政策(以減少濫用電子郵件的數量)等到更有經驗時再進一步開放它。 減少的退出政策可以在 Reduced Exit Policy wiki 頁面上找到。

若要成為退出中繼,請將 torrc 設定檔中的 ExitRelay 從 0 改為 1,然後重新啟動 tor 守護程式。

ExitRelay 1

在出口中繼的 DNS

與其他中繼類型不同,出口中繼亦為 Tor 用戶端執行 DNS 解析。 出口中繼上的 DNS 解析對 Tor 用戶端至關重要,應透過快取確保可靠且迅速。

  • DNS 解析會對出口中繼提供的效能和可靠性產生重大影響。
  • 不要使用任何大型 DNS 解析器(Google、OpenDNS、Quad9、Cloudflare、4.2.2.1-6)作為主要或後備 DNS 解析器,以避免集中化。
  • 我們建議執行本機快取和 DNSSEC 驗證解析器,而不使用任何轉發器(針對各種作業系統的具體說明如下)。
    • 如果想添加第二個 DNS 解析器作 /etc/resolv.conf 配置的後備,請在您的自治系統中選擇一個解析器且確認它不是該檔案的第一個條目(第一個條目應該為您的本地解析器)。
    • 如果未綁定的本地解析器不適合,請使用您的提供商在同一自治系統中運行的解析器(要確定 IP 地址是否與您的中繼位於相同 AS ,可以使用 bgp.he.net)。
  • 避免在 /etc/resolv.conf 檔案中新增兩個以上解析器,以限制 DNS 查詢的 AS 層級暴露。
  • 確認本地解析器不使用任何 Tor 出口或非出口使用的出站源 IP 地址,因為 Tor IP(暫時)被封鎖並不罕見,並且封鎖 DNS 解析器源 IP 地址可能造成廣泛影響。 對於未綁定,您可以使用 outgoing-interface 選項指定用於聯絡其他 DNS 伺服器的來源 IP 位址。
  • 大型出口業者(>=100 Mbit/s)應努力監控和優化 Tor 的 DNS 解析逾時率。 這可以透過 Tor 的 Prometheus 導出器(MetricsPort)來實現。 以下指標可用於監控 Tor 看到的逾時率:
tor_relay_exit_dns_error_total{reason="timeout"} 0

DNS 伺服器軟體有多種選擇。 Unbound 已成為 這是一個熱門的選擇,但歡迎使用任何您熟悉的其他軟體。 選擇 DNS 解析器軟體時,請確保它支援 DNSSEC 驗證和 QNAME 最小化 (RFC7816)。 請透過作業系統的套件管理器安裝 resolver 軟體,以確保它能自動更新。

透過使用你自己的 DNS resolver,你較不易受到上游 resolver 可能施加的 DNS 型審查影響。

以下說明如何在出口中繼安裝和配置 Unbound - 它是 DNSSEC 驗證和緩存解析器。 Unbound 有許多配置和調整旋鈕,這裏將之簡化;基本設置對大多數營運者已足夠。

切換至 Unbound 後,請透過解析一個有效的主機名稱來確認其運作正常。若無法運作,您可以還原舊的 /etc/resolv.conf 檔案。

Debian/Ubuntu

如何在 Debian/Ubuntu 上安裝 Unbound

CentOS/RHEL

如何在 CentOS/RHEL 上安裝 Unbound

FreeBSD

如何在 FreeBSD 上安裝 Unbound

openSUSE

如何在 openSUSE 上安裝 Unbound