koulab

購入型リサーチャー

TorRelayの運用

この記事はあやしいネットワーク関連 Advent Calendar 2018の1日目の記事です https://adventar.org/calendars/3098

Torとは

下手に説明すると不味いので最新の公式を読んでください。 www.torproject.org

Tor relayする

これも、公式に載ってるのでそれを見てほしいのですがざっくりと要点だけ説明します https://trac.torproject.org/projects/tor/wiki/TorRelayGuide

Relayの種類

Exit Relay

いわゆる、勇者ノード1 Tor circuitのクリアネットへのトラフィックはすべてExitノードのIPです。法的な全責任を負います 理想は大学、教育機関、図書館のネットワークです。 誰か日本の大学でやってくれませんかね?パケットキャプチャもしてアレコレできますよ

Guard/Middle Relay

GuardはTorに繋ぐときに最初に繋ぐノード。 Middleはその中間。

f:id:dmca:20181201221841p:plain
TorBrowser circuit information

サーバを選ぶ

適当のサーバでまともにExitすると死にます。Exitした次の日には法執行機関にあなたの情報が渡っているでしょう 日本でExitしたい場合はEquinixかM247、i3Dがお手軽かと思います

海外ですとworldstream、Floki、BuyVM、UrDNあたりでしょうか

Relayができるサーバを選ぶにはGoodBadISPが参考になります https://trac.torproject.org/projects/tor/wiki/doc/GoodBadISPs

Tor metricsでexitしてるノードを検索してどのネットワークを利用しているか見るのも良いと思います https://metrics.torproject.org/rs.html#search/flag:exit

インストールして動かす

ソース https://www.torproject.org/docs/tor-doc-unix.html.en

Ubuntu/Debian

UbuntuとDebianは公式にサポートされているので極力こちらを使う https://www.torproject.org/docs/debian.html.en

CentOS7

epel-repoにstableがある。0.2.9.xはあまり性能が良くないが0.2.9.xはLTSで2020年1月までサポートされる。

yum install epel-release
yum install tor

Fedora

デフォで最新のtorが入ってます

Configをいじる

vi /etc/tor/torrc

exitする前提で。 修正するところ

RunAsDaemon 1
ORPort 9001 #443推奨
#OutboundBindAddressExit ExitのIPを別にする場合のみ記載 #OutboundBindAddressORとかもあるのでここはドキュメント見て
Nickname superexit #好きな名前1~19文字で[a-zA-Z0-9]が使える
ContactInfo anonymous@example.com #連絡先
DirPort 9030 #9030もしくは80推奨
MyFamily ほかにもTor relayしてるならここにFingerprintを記載する
#IPv6Exit 1 #IPv6での出口ノードを許可するなら追記
#Exit許可するポートを指定する ホワイトリスト方式
ExitPolicy accept *:80
ExitPolicy accept *:443
ExitPolicy accept *:5222
ExitPolicy accept *:5223
ExitPolicy accept *:53
ExitPolicy reject *:* # 残りのポートは全部拒否
ExitPolicy reject6 *:*

#もしくはブラックリスト方式
#ExitPolicy reject *:465
#ExitPolicy reject *:25
#ExitPolicy reject *:587
#ExitPolicy accept *:*

かっこいいメトリクス画面を眺める

nyxをインストール https://nyx.torproject.org/#download

f:id:dmca:20181201232010p:plain
Tor Nyx

Exitじゃなければ押収されない?

いいえ。過去にonline.netにホストしていたTorエントリーノードが押収されています。 thehackernews.com 自宅サーバなどではやめておいたほうが良いです

最強のTorノードを作りたい

ipredatorの記事を見てください https://ipredator.se/guide/torserver

Torは安全であるかどうか

安全であるかどうかはあなたの目でソースコードを読んで見てはどうでしょうか https://trac.torproject.org/projects/tor

Relayすることで何かメリットはあるのか

検閲されたネットワークしか利用できないユーザへ安全なウェブブラウジングを環境を提供、貢献したという功績を得られます

興味のある方はOpen Observatory of Network Interference( https://ooni.torproject.org/ )も参照してみてください OONI - OONI: Open Observatory of Network Interference

運用してみて何か問題や不利益があったか

一度もAbuse受け取ったことがないので、今のところ問題や不利益は無いです。

おまけ

587と465開放してるとアレなメールの送信元になったりする。 f:id:dmca:20181201231636j:plain f:id:dmca:20181203002241p:plain