Anonym im Internet - Seite 5

Tor mit der torrc konfigurieren

An dieser Stelle wird eine Auswahl sinnvoller Optionen für typische Einsatz-Szenarios von Tor vorgestellt, die sich an der Tor Entwicklerversion orientieren. Sinnvolle Standardeinstellungen für Optionen, die so belassen werden sollten, werden dabei nicht erwähnt, ebenso wenig speziellere Konfigurationen wie für Verzeichnis-Server.

Wer sich über allle möglichen Optionen und Einstellungen informieren möchte, sei auf die Tor Handbuchseite für die Entwicklerversion bzw. stabile Tor Version verwiesen.

Tor als Onion Proxy und Router

Einstellungen, die Tor als Onion Proxy und als Onion Router betreffen.

Control… für Optionen zur Steuerung und Kontrolle von Tor siehe Tor Kontrolle.
DataDirectory /var/lib/tor Verzeichnis, in dem sich die zwischengespeicherten Informationen der Verzeichnisserver und für Tor als Onion Router u. a. die Fingerprint-Datei und das keys Unterverzeichnis für die Schlüssel befinden. Gleichzeitig das Heimatverzeichnis für den debian-tor Systembenutzer.
Log Dringlichkeitsstufe file /var/log/tor/name.log Ereignisse >= Dringlichkeitsstufe (err, warn, notice, info, debug) werden in der benannten Logdatei gespeichert. In der Regel reicht notice als Dringlichkeitsstufe. Soll überhaupt keine Logdatei geführt werden, lässt man die Option in der torrc auskommentiert.
OutboundBindAddress IP Bei mehreren Netzwerkkarten die IP-Adresse der Netzwerkkarte, über die ausgehende Verbindungen von Tor laufen sollen.
PidFile /var/run/tor/tor.pid Datei mit der Prozess-ID des Tor Daemons.
RunAsDaemon 1 Tor wird beim Systemstart als Daemon im Hintergrund gestartet.
SafeLogging 1|relay Mit „1“ werden in der Logdatei immer alle sensiblen Informationen wie z. B. die Hostnamen der Server, zu denen Verbindung aufgenommen wird, durch den [scrubbed] Vermerk ersetzt. Mit relay statt „1“ werden nur Informationen ersetzt, die in der Rolle als Onion Router anfallen würden, während die Informationen, die man selbst als Benutzer erzeugt, nicht ersetzt werden.
User debian-tor Der Tor-Prozess läuft mit debian-tor als UID/GID.

Tor als Onion Proxy

Einstellungen, die Tor als Onion Proxy bzw. Client der Onion Router im Tor-Netzwerk betreffen, der keine Daten als Eingang-, Mittelsmann-, Ausgang- oder Bridge-Router transportiert. Wenn man allerdings den Onion Proxy auch (zumindest) als Mittelsmann-Router laufen lässt, bringt das den Vorteil, dass es z. B. Geheimdiensten erschwert wird, den Traffic, den man selbst durch die eigene Tor-Nutzung erzeugt, vom Traffic zu isolieren, der durch Tor als Onion Router anfällt (sagt jedenfalls der britische Geheimdienst GCHQ).

Standard-Einstellungen
SOCKSPort IP:Port|auto Isolierungsmarker IP-Adresse und Port, auf dem der Onion Proxy auf Verbindungen der Anwendungen per SOCKS-Protokoll lauscht. Kann mehrmals verwendet werden, um den Onion Proxy an verschiedenen IP-Adressen und Ports lauschen zu lassen. In der Regel SOCKSPort 127.0.0.1:9050. Mit auto wählt der Onion Proxy selbst einen freien Port statt 9050 aus.

Isolierungsmarker teilen dem Onion Proxy mit, welche Verbindungen die gleichen Tor-Ketten benutzen können und welche Verbindungen isoliert voneinander über eigene bzw. verschiedene Tor-Ketten geführt werden sollen. Viele Verbindungs-Isolierungen ergeben eine breitere Verteilung/Streuung aller Verbindungen über eine größere Anzahl von Tor-Ketten, was die Zusammenführung aller Verbindungen über eine oder eine begrenzte Anzahl von Tor-Ketten verringert und damit eine Analyse des Datenverkehrs erschwert. Bei alleiniger Nutzung der Standard-Isolierungen werden z. B. mehrere Verbindungen zu verschiedenen Ports oder Ziel-IP-Adressen über die gleichen Tor-Ketten geführt.

Die gleichen Isolierungsmarker können auch bei der TransPort, NATDPort und DNSPort Option angewendet werden.
Isolierungsmarker
IsolateClientAddr bei Verbindungen, die von verschiedenen Client IP-Adressen ausgehen, werden jedem Client eigene Tor-Ketten zugeteilt.
Standard: aktiviert
IsolateSOCKSAuth für Verbindungen über einen weiteren SOCKS-Proxy (SOCKS5Proxy Option) mit verschiedenen Benutzern werden jedem Benutzer eigene Tor-Ketten zugeteilt
Standard: aktiviert
IsolateClientProtocol bei Verbindungen von Anwendungen, die über verschiedene Protokolle (z. B. SOCKSn, DNSPort) zum Onion Proxy verlaufen, werden den Anwendungen eigene Tor-Ketten zugeteilt
IsolateDestPort für Verbindungen zu verschiedenen Dienste-Ports (z. B. 80, 443 usw.) werden für jeden Port eigene Tor-Ketten verwendet
IsolateDestAddr für Verbindungen zu verschiedenen Ziel-IP-Adressen werden unterschiedliche Tor-Ketten verwendet
Optionale Einstellungen
AutomapHostsOnResolve 1 für Anfragen zur Namensauflösung von Hostnamen versteckter Tor-Dienste, deren TLD auf .onion lautet und für .exit Hostnamen/Adress-Zuordnungen wird der Hostname automatisch auf interne, virtuelle IP-Adressen abgebildet.
CircuitBuildTimeout n
LearnCircuitBuildTimeout 0|1
n Sekunden wird auf die Zusammenschaltung der Onion Router zu Tor-Ketten und deren Öffnung für Verbindungen gewartet, bevor die Zusammenschaltung verworfen wird.
Standard: 60 Sekunden.

Mit LearnCircuitBuildTimeout 1 wird bei der ersten Zusammenschaltung n Sekunden gewartet und danach passt Tor den Wartezeit-Wert dynamisch den ermittelten Wartezeiten an.
Standard: 1.

Mit LearnCircuitBuildTimeout 0 wird nur der Wartezeit-Wert der CircuitBuildTimeout Option statisch verwendet.
CircuitIdleTimeout n unbenutzte Tor-Ketten bzw. Tor-Ketten, die keine Anfragen/Verbindungen bedienen können, werden nach n Sekunden geschlossen.
Standard: 3600 Sekunden
CircuitStreamTimeout n n Sekunden wird auf eine erfolgreiche Verbindung zur Zieladresse über eine Tor-Kette gewartet, bevor die Verbindung bei Misserfolg einer anderen Tor-Kette zugeordnet wird.
Standard: 0 Sekunden, d. h. es wird eine interne Methode zur Timeout-Ermittlung verwendet.
DNSPort IP:Port Isolierungsmarker IP-Adresse und Port, auf dem der Onion Proxy auf Anfragen zur anonymisierten Namensauflösung per UDP lauscht. Kann mehrmals verwendet werden, um den Onion Proxy an verschiedenen IP-Adressen und Ports lauschen zu lassen. In der Regel DNSPort 127.0.0.1:53. Als Isolierungsmarker können die gleichen Isolierungsmarker verwendet werden wie bei SOCKSPort. Siehe auch Linux: DNS mit Dnsmasq, DNSCrypt-Proxy2 & Tor.
LongLivedPorts Liste … Komma-getrennte Liste der Dienste-Ports für Dienste mit langlebigen Verbindungen wie z. B. SSH-, XMPP- oder IRC-Sitzungen, für die Onion Router mit hoher Erreichbarkeit und langer Laufzeit in den Tor-Ketten auswählt werden.
Standard: ohne Angabe einer Liste wird 21,22,706,1863,5050,5190,5222,5223,6523,6667,6697,8300 verwendet.
MaxCircuitDirtiness n eine Tor-Kette, die vor n Sekunden für Verbindungen genutzt wurde, wird für neue Verbindungen wiederverwendet. Nach Ablauf der Zeitdauer wird die Tor-Kette nicht für neue Verbindungen verwendet.
Standard: 600 Sekunden.
NewCircuitPeriod n Tor überprüft alle n Sekunden, ob neue Tor-Ketten (auf Vorrat) geschaltet werden müssen.
Standard: 30 Sekunden.
SocksPolicy accept private:*
SocksPolicy reject *:*
Richtlinie, die SOCKS-Verbindungen zu SOCKSPort localhost, internen/privaten IP-Adressen erlaubt und allen anderen verbietet.
SocksTimeout n für eine SOCKS Verbindung wird n Sekunden für den Verbindungsaufbau zu einer Tor-Kette bzw. auf eine geeigente Tor-Kette gewartet, bevor sie verworfen wird.
Standard: 120 Sekunden.
TrackHostExits Liste
TrackHostExitsExpire n
Tor speichert den verwendeten Ausgang-Router der Verbindungen zu den Zielrechnern oder -domains (host.domain.tld,.domain.tld), die in der komma-getrennten Liste aufgeführt sind und verwendet für alle weiteren Verbindungen den gespeicherten Ausgang-Router, um z. B. das Verfallen eines Authentifizierungs-Cookies zu verhindern, weil der ständige Wechsel der Ausgang-Router eine dauernde Änderung der IP-/Host-Adresse bedingt.

Kann statt MapAddress verwendet werden, wenn kein bestimmter Ausgang-Router erforderlich ist.

Mit der zweiten Option wird die Zuordnung zwischen Ausgang-Router und Zielrechner/-domain nach n Sekunden aufgelöst, weil ansonsten die Zuordnung aufrecht erhalten wird, obwohl der Ausgang-Router eventuell längst offline ist. Nach Ablauf der Zeitdauer ist deshalb u. U. eine erneute Authentifizierung nötig.
Standard: 1800 Sekunden.
Einstellungen für Bevorzugung und Ausschluss verwendeter Onion Router
Generell gilt, dass für alle Verbindungen eine möglichst zufällige Auswahl von Onion Routern für alle Positionen der Tor-Ketten erfolgen und die Gesamtheit aller Onion Router genutzt werden sollte, um die Anonymisierungs-Effekte nicht einzuschränken.

In den komma-getrennten Listen der Optionen können die Fingerprints der Onion Router, TLD-Ländercodes in der Form {TLD} – z. B. {DE} für alle in Deutschland lokalisierten Onion Router – oder Netzwerkadress-Muster (a.b.c.0/maske) aufgeführt werden.

Für {TLD} Listen kann man sich alle TLDs im torrc Format mit diesem Skript auswerfen lassen:
#!/bin/sh
 
geoipdb="/usr/share/tor/geoip"
 
ccode=`grep -e [A-Z][A-Z]$ $geoipdb | awk -F, '{ print $3 }' | sort | uniq`
    for i in $ccode; do
      printf "{$i},"
    done
echo ""
 
exit 0
MapAddress zieladresse zieladresse.or-fingerprint.exit Für Verbindung zur Adresse zieladresse wird immer ein bestimmter Ausgang-Router verwendet. Zur Adressierung des Ausgang-Routers wird dessen Fingerprint eingesetzt. Als Zieladresse kann ein FQDN, eine Domain oder eine Domain inklusive aller Subdomains angegeben werden:

host.domain.tld
domain.tld
*.domain.tld

Man kann z. B. die für Youtube verantwortlichen Domains an U.S. Ausgang-Router binden, um die Zensur für deutsche Konsumenten zu umgehen.

Kann statt der TrackHostExits Option verwendet werden, wenn die Verwendung eines bestimmten Ausgang-Routers erforderlich ist.
EntryNodes Liste Tor werden die Onion Router mitgeteilt, die als Eingang-Router in Tor-Ketten verwendet werden.

Für Deutschland kann man z. B. alle TLDs bis auf {DE} und die TLDs der UKUSA-Staaten {AU},{CA},{GB},{NZ},{US} aufführen, um von Deutschland aus immer ausländische Eingang-Router zu verwenden und die Gesamtzahl der Router aus UKUSA-Staaten zu begrenzen (Alternativ setzt man die TLDs der UKUSA-Staaten für die ExcludeExitNodes Option ein). Wer der Auffassung ist, dass Traffic aus und in UKUSA-Staaten gerade nicht durch UKUSA-Geheimdienste analysiert wird, könnte auch die gegenteilige Strategie fahren.

Wird bei Verwendung der UseBridges Option durch den angegebenen Bridge Onion Router als Eingang-Router überschrieben. Deshalb sollte man vor dem Einfügen der mitgeteilten Bridge-Adressen deren IP-Adressen überprüfen, ob sie in den UKUSA-Staaten lokalisiert sind. Ein Beispiel: Bei einem Testlauf mit 5 Durchgängen waren von den 10 Bridges 8 in den USA, 1 in Australien und nur 1 Bridge in den Niederlanden – inakzeptabel. Onion Router, die mit der ExcludeNodes ausgeschlossen wurden, werden auch nicht als Eingang-Router verwendet.
ExitNodes Liste Tor werden die Onion Router mitgeteilt, die als Ausgang-Router in Tor-Ketten verwendet werden.

Onion Router, die mit der ExcludeNodes ausgeschlossen wurden, werden auch nicht als Ausgang-Router verwendet. Zusätzlich werden die Onion Router als Ausgang-Router für die angegebenen Zieladressen verwendet, die mit den MapAddress Optionen gesetzt wurden.
ExcludeNodes Liste
StrictNodes 1
Tor wird vorgeschlagen, die Onion Router an keiner Position in Tor-Ketten zu verwenden. Ist zusätzlich die zweite Option gesetzt, wird Tor vorgegeben, die Onion Router an keiner Position in Tor-Ketten zu verwenden.
ExcludeExitNodes Liste Tor werden die Onion Router mitgeteilt, die nicht als Ausgang-Router verwendet werden.

Zusätzlich werden alle Onion Router nicht als Ausgang-Router verwendet, die mit der ExcludeNodes Option angegeben wurden.

Man kann z. B. die TLDs der Staaten einsetzen, die als "Feinde des Internets" Tor blockieren und manipulieren oder alternativ zur EntryNodes Option die TLDs der Router in UKUSA-Staaten.

Verbindung in das Tor-Netzwerk über einen Bridge Onion Router
UseBridges 1 aktiviert die Nutzung von Bridge Onion Routers
Bridge IP:Port fingerprint IP-Adresse, Onion Router Port und der Fingerprint der Bridge Onion Routers, die als Brücken in das Tor-Netzwerk dienen sollen. Kann mehrmals gesetzt werden, um immer einen Bridge Onion Router verfügbar zu haben bzw. den Ausfall eines Bridge Onion Router aufzufangen.

Aktuelle Adressen von Bridge Onion Routern erhält man auf bridges.torproject.org oder mit E-Mails an bridges@torproject.org über ein riseup.net, gmail.com oder yahoo.com Konto.
Bridge obfs[2|3] IP:Port fingerprint
ClientTransportPlugin obfs2,obfs3 /pfad/obfsproxy managed
Alternativ zur ersten Bridge Option, werden die Verbindungsdaten zuerst von den obfs2 bzw. obfs3 Transport-Plugins behandelt, bevor sie an einen Bridge Onion Router weitergleitet werden, der das gleiche Transport-Plugin unterstützt.

In diesem Beispiel wird Obfsproxy für die Transport-Plugins auf beiden Seiten verwendet, der dazu dient, die Verbindungsdaten so zu verfälschen, dass sie von Filter- und Zensur-Systemen nicht oder nur schwer als Tor-typische Verbindungsdaten erkannt werden. Statt des Onion Router Ports des Bridge Onion Router wird der Port des Bridge Onion Router eingetragen, auf dem das Transport-Plugin – in dem Fall der Obfsproxy – Verbindungen entgegennimmt.

Benötigt man tatsächlich einen Bridge Onion Router mit Obfsproxy, kann man sich mit einer E-Mail an das Tor Projekt richten.
Verbindung in das Tor-Netzwerk durch Firewalls und Zwangs-Proxys
FascistFirewall 1
ReachableAddresses accept *:80,accept *:443,reject *:*
Angabe der Ports, auf die Firewalls ausgehende Verbindungen zu allen IP-Adressen zulassen. Tor nimmt dann nur Verbindungen zu den Onion Routern und Verzeichnisservern auf, die auf den hier angegebenen Ports lauschen. Wird zusätzlich die Nutzung eines SOCKS- oder HTTP-Proxy vorgeschrieben, setzt man die folgenden Optionen enstprechend.
HttpProxy host:port
HttpsProxy host:port
Tor sendet alle Datenströme über den HTTP oder HTTPS Proxy mit der Adresse host und dem Port port.

Für verschiedene Hostnamen können mit Privoxy besser Weiterleitungen der Tor Datenströme über (verschiedene) HTTP Proxys erfolgen. Kann z. B. angewendet werden, wenn Server wie bei der Europäischen Kommission Verbindungen von Tor Ausgang-Routern ablehnen.
HttpProxyAuthenticator Benutzername:Passwort
HttpsProxyAuthenticator Benutzername:Passwort
Benutzername und Passwort, die ggf. zur Authentifizierung beim Proxy nötig sind.
Socks[4|5]Proxy host:port Tor sendet alle Anfragen über den SOCKS4 oder SOCKS5 Proxy mit der Adresse host und dem Port port.
Socks5ProxyUsername Benutzername
Socks5ProxyPassword Passwort
Benutzername und Passwort, die ggf. zur Authentifizierung beim SOCKS5 Proxy nötig sind.

Tor als Onion Router

Will man seinen Onion Proxy zum Onion Router erweitern, kann der Onion Router je nach Konfiguration verschiedene Rollen im Tor-Netzwerk einnehmen:

  • als Mittelsmann-Router zwischen Eingang- und Ausgang-Router
  • als Eingang- oder Bridge-Router in das Tor-Netzwerk
  • als Ausgang-Router nach dem Mittelsmann-Router zu Servern im Internet

Folgende Überlegungen und Maßnahmen sollten Betreiber von Onion Routern zusätzlich berücksichtigen:

  • für den Datentransport sollte man als Bridge-Router mindestens 50 KB, als Relay mindestens 75 KB an Bandbreite zur Verfügung stellen können
  • als Bridge-Router sollte man über eine fixe und keine dynamisch zugeteilte IP-Adresse verfügen
  • das Betriebs- und Dateisystem sollte zusätzlich – u. a. mit verschlüsselten Dateisystemen – abgesichert und gehärtet werden, um z. B. keine Klartextdaten im Fall von Server-Beschlagnahmen und Durchsuchungen auszuliefern oder mögliche Angriffseffekte zu minimieren.
  • Logdateien sollten entweder überhaupt nicht oder nur mit SafeLogging 1|relay anfallen.
  • als Betreiber von Ausgang-Routern sollte man – je nach Konfiguration des Routers – über eine Rechtsschutzversicherung verfügen und Informationsmaterial bereithalten, falls Behörden, Organisationen oder Privatpersonen Nachfragen und Beschwerden einreichen oder Ermittlungen initiieren. Optimal wird ein Ausgang-Router auf einen Root-Server im Ausland betrieben, den man anonym anmieten, bezahlen und administrieren kann.

Folgende Quellen geben zusätzliche Informationen zum Betrieb eines Onion Routers:

Standard-Einstellungen
Address IP|FQDN IP-Adresse oder FQDN des Onion Routers.

Ist keine statische IP-Adresse oder eigener FQDN verfügbar, muss ein Konto bei einem DynDNS Diensteanbieter eingerichtet und der DynDNS FQDN eingetragen werden.
ContactInfo Schlüssel-ID <name at domain dot tld> Kontaktadresse und OpenPGP Schlüssel-ID, die man als Onion Router Betreiber angeben kann.
Nickname name Kurzname, mit dem der Onion Router in den Verzeichnis-Listen benannt werden kann.
BandwidthRate n KB|MB|GB Durchschnittliche Bandbreite, die dem Onion Router für aus- und eingehenden Datenverkehr zur Verfügung steht.
BandwidthBurst n KB|MB|GB Maximale Höhe der Bandbreiten-Spitzen, die der Onion Router bedienen kann.
MaxAdvertisedBandwidth n KB|MB|GB Maximale Bandbreite, die der Onion Router ankündigt und von den Verzeichnis Servern veröffentlicht wird.
ORPort [IP:]Port [Marker] Der ORPort ist der Port, den der Onion Router für Verbindungen externer Onion Proxys und anderer Onion Router ankündigt und von den Verzeichnis Servern veröffentlicht wird, so dass sich externe Onion Proxys von Tor Anwendern und Onion Router zu dem Port verbinden. Mit Angabe der IP-Adresse kann man den Onion Router an einer bestimmten Netzwerkschnittstellle lauschen lassen und zusammen mit Marker-Angaben Weiterleitungen realisieren.
ORPort 443 NoListen
ORPort aaa.bbb.ccc.ddd:8000 NoAdvertise

ORPort aaa.bbb.ccc.ddd:8000
In diesem Beispiel wird 443 als ORPort zusammen mit der unter Address genannten Adresse nach außen angekündigt und veröffentlicht, aber mit dem NoListen Marker festgelegt, das auf dem ORPort keine eingehenden Verbindungen verarbeitet werden. Stattdessen werden die eingehenden Verbindungen per Firewall-/Paketfilter-Konfiguration an Port 8000 der internen Netzwerkschnittstelle mit der IP aaa.bbb.ccc.ddd weitergeleitet, für den mit dem NoAdvertise Marker festgelegt wurde, ihn nicht anzukündigen und zu veröffentlichen. Mit der dritten Zeile nimmt der Onion Router eingehende Verbindungen auf aaa.bbb.ccc.ddd:8000 entgegen und der gleiche ORPort wird nach außen angekündigt/veröffentlicht.
Optionale Einstellungen
AssumeReachable 1 der Datensatz des Onion Routers wird ohne zuvorige Überprüfung der eigenen Erreichbarkeit zu Verzeichnis Server hochgeladen, da die Erreichbarkeit feststeht.
MyFamily Liste
MyFamily fingerprint1,fingerprintN
Betreibt man mehrere Onion Router, sollte man die Fingerprints der anderen Onion Router in der komma-getrennten Liste aufführen. Die Onion Proxys der Tor Anwender berücksichtigen die Angaben, um in Tor-Ketten nicht zwei Onion Router zu verwenden, die den gleichen Betreiber haben.
Tor als Bridge Onion Router
BridgeRelay 1 Der Onion Router dient Tor Anwendern als „Brücke“ zu einem Eingang-Router in das Tor-Netzwerk, wenn sie ihren Onion Proxy per UseBridges Option angewiesen haben, sich über einen Bridge Onion Router mit dem Tor-Netzwerk zu verbinden.
ExitPolicy reject *:* Richtlinie, die generell keinen ausgehenden Datenverkehr zu beliebigen im Internet routebaren IP-Adressen und beliebigen Dienste-Ports zulässt.
PublishServerDescriptor bridge|0 Mit bridge wird der Datensatz des Onion Routers nicht im öffentlichen Verzeichnis, sondern nur im internen Bridge Verzeichnis gespeichert, aus dem die Adressdaten von Tor Anwendern abgerufen bzw. ihnen mitgeteilt werden. Mit „0“ wird der Datensatz in keinem Verzeichnis gespeichert, so dass der Bridge Onion Router klandestiner bleibt und der Betreiber selbst seine Adressdaten privat weitergeben kann.
Optionale Einstellungen für Bridge Onion Router
ServerTransportPlugin obfs2,obfs3 exec /pfad/obfsproxy managed
ServerTransportListenAddress obfs2 IP:Port
ServerTransportListenAddress obfs3 IP:Port
der Bridge Onion Router nimmt Verbindungen der Onion Proxys von Tor Anwendern zusätzlich über die obfs2 und obfs3 Transport-Plugins entgegen, bevor die Verbindungsdaten an den nächsten Onion Router der Tor-Kette weitergeleitet werden.

In diesem Beispiel wird Obfsproxy für die Transport-Plugina auf beiden Seiten verwendet, der dazu dient, die Verbindungsdaten so zu verfälschen, dass sie von Filter- und Zensur-Systemen nicht oder nur schwer als Tor-typische Verbindungsdaten erkannt werden.

Mit der ServerTransportListenAddress Option verwenden die Transport-Plugins die angegeben Ports, falls frei, was das Port-Forwarding erleichtert.
Tor als Eingang- und Mittelsmann-Router
ExitPolicy reject *:* Richtlinie, die generell keinen ausgehenden Datenverkehr zu beliebigen im Internet routebaren IP-Adressen und beliebigen Dienste-Ports zulässt.
PublishServerDescriptor 1 Der Datensatz des Onion Routers wird an die Verzeichnis Server gesendet und im öffentlichen Verzeichnis gespeichert.
Tor als Ausgang-Router
ExitPolicy reject *:Port
ExitPolicy reject *:Port1-PortN
ExitPolicy accept *:*

oder

ExitPolicy reject *:Port
ExitPolicy reject *:Port1-PortN
ExitPolicy accept *:Port
ExitPolicy accept *:Port1-PortN
ExitPolicy reject *:*
Mit den ersten reject Richtlinien werden einzelne Dienste-Ports und/oder Bereiche von Dienste-Ports definiert, für die generell keine ausgehenden Verbindungen zu beliebigen IP-Adressen zugelassen werden. Danach folgt die allgemeine accept Richtlinie, die alle anderen Verbindungen zu beliebigen IP-Adressen zulässt. Statt der allgemeinen accept Richtlinie können auch nur Verbindungen zu bestimmten Dienste-Ports beliebiger IP-Adressen zugelassen werden, während mit der letzten allgemeinen reject Richtlinie alle anderen Verbindungen nicht zugelassen werden.

Soll eine weitere Einschränkung hinsichtlich der IP-Adressen bzw. Netzwerke erfolgen, wird *:[*|Port] durch IP-Adresse:[*|Port] bzw. a.b.c.0/Maske:[*|Port] ersetzt. Bei jeder Verbindung, die den Ausgang-Router vom Mittelsmann-Router erreicht, wird jede Richtlinie von oben nach unten abgeglichen, bis die erste Richtlinie zutrifft.
PublishServerDescriptor 1 Der Datensatz des Onion Routers wird an die Verzeichnis Server gesendet und im öffentlichen Verzeichnis gespeichert.

Verweise auf aktuelle Seite