[[Vorlage(getestet, general)]] [[Vorlage(Fortgeschritten)]] Wenn man [:Tor:] eingerichtet hat und die Regeln zum [:Sicherheit/Anonym_Surfen:anonymen Surfen] beachtet, ist man ja eigentlich schon auf der sicheren Seite. Man könnte aber versehentlich Tor im Browser ausschalten, oder auch eine andere Anwendung, die aufs Internet zugreift, verwenden und so eine ungewollte Verbindung außerhalb von Tor starten. Auch Bugs in Firefox sind nicht ausgeschlossen. Diese Situation kann man verbessern, indem man mit einigen Firewall-Regeln ausgehende Verbindungen nur über Tor zulässt. = Voraussetzung = [:iptables:] ist üblicherweise in der Standardinstallation von Ubuntu enthalten. Ansonsten kann das entsprechende Paket {{{#!vorlage Paketinstallation iptables }}} nachinstalliert werden. = Einrichtung = In einem Terminal wendet man folgende Schritte nacheinander an. == Default Regeln sichern == {{{#!vorlage Befehl sudo iptables-save > /Pfad/zu/iptables_default }}} == Neue Regeln festlegen == {{{#!vorlage Warnung Neue Regeln gelten sofort! Man sollte lokal am Rechner angemeldet sein, da sonst die Remote-Verbindung beendet wird. }}} Bestehende Regeln für `OUTPUT` löschen: {{{#!vorlage Befehl sudo iptables -F OUTPUT }}} Ausgehende Verbindungen für den Nutzer `debian-tor` zulassen: {{{#!vorlage Befehl sudo iptables -A OUTPUT -j ACCEPT -m owner --uid-owner debian-tor }}} `localhost` kommunizieren lassen: {{{#!vorlage Befehl sudo iptables -A OUTPUT -j ACCEPT -o lo }}} Synchronisation für [:NTP:] zulassen. (Die IPs der Server müssen verwendet werden, da der Host sonst nicht aufgelöst werden kann): {{{#!vorlage Befehl sudo iptables -A OUTPUT -j ACCEPT -p udp --dport 123 }}} {{{#!vorlage Hinweis Eine akkurate Systemzeit ist wichtig bei der Verwendung von Tor. Wird die Systemzeit nicht synchronisiert, kann das die Anonymität gefährden. }}} Alles, was nicht den oben genannten Filterregeln entspricht, wird ausgeschlossen: {{{#!vorlage Befehl sudo iptables -P OUTPUT DROP }}} == Neue Konfiguration sichern == {{{#!vorlage Befehl sudo iptables-save > /Pfad/zu/iptables_TOR_only }}} Jetzt kann man bequem zwischen den beiden Konfigurationen hin und her wechseln. == Zwischen den zwei Konfigurationen wechseln == === Default iptables laden === {{{#!vorlage Befehl sudo iptables-restore /Pfad/zu/iptables_default }}} === Nur Verbindungen über Tor zulassen === {{{#!vorlage Befehl sudo iptables-restore /Pfad/zu/iptables_TOR_only }}} Man könnte jetzt auch zwei Schnellstarter auf ein Panel legen und per Mausklick wechseln. {{{#!vorlage Hinweis Diese Konfiguration ist keine transparente Proxy-Konfiguration. Sie dient nur dazu, beim Browsen keine ungewollten Verbindungen außerhalb von Tor zuzulassen. Wie man allen Netzwerkverkehr über Tor routet, kann man hier nachlesen: [https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/TransparentProxy Transparently Routing Traffic Through Tor] {en} }}} {{{#!vorlage Warnung Die Filterregeln mit iptables gehen bei jedem Neustart verloren. }}} Natürlich könnte man das System auch permanent mit `TOR_only` iptables starten lassen. = Links = == Intern == * [:Tor:] {Übersicht} * [:Tor/Installation:Installation] * [:Tor/Programme zur Nutzung von Tor konfigurieren: Programme zur Nutzung von Tor konfigurieren] * [:Tor/Server: Server aufsetzen] * [:Tor/Gefahren: Gefahren bei Tor] * [:Sicherheit/Anonym_Surfen:] == Extern == * [https://torproject.org/ Website des Torprojekts] {en} * [https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/TransparentProxy Transparently Routing Traffic Through Tor] {en} #tag: Netzwerk, Internet, Sicherheit, Firewall, Paketfilter, Netfilter, Tor