ubuntuusers.de

Tor mit iptables absichern

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Wenn man Tor eingerichtet hat und die Regeln zum anonymen Surfen beachtet, ist man ja eigentlich schon auf der sicheren Seite. Man könnte aber versehentlich Tor im Browser ausschalten, oder auch eine andere Anwendung, die aufs Internet zugreift, verwenden und so eine ungewollte Verbindung außerhalb von Tor starten. Auch Bugs in Firefox sind nicht ausgeschlossen. Diese Situation kann man verbessern, indem man mit einigen Firewall-Regeln ausgehende Verbindungen nur über Tor zulässt.

Voraussetzung

iptables ist üblicherweise in der Standardinstallation von Ubuntu enthalten. Ansonsten kann das entsprechende Paket

  • iptables

Befehl zum Installieren der Pakete:

sudo apt-get install iptables 

Oder mit apturl installieren, Link: apt://iptables

nachinstalliert werden.

Einrichtung

In einem Terminal wendet man folgende Schritte nacheinander an.

Default Regeln sichern

sudo iptables-save > /Pfad/zu/iptables_default 

Neue Regeln festlegen

Achtung!

Neue Regeln gelten sofort! Man sollte lokal am Rechner angemeldet sein, da sonst die Remote-Verbindung beendet wird.

Bestehende Regeln für OUTPUT löschen:

sudo iptables -F OUTPUT 

Ausgehende Verbindungen für den Nutzer debian-tor zulassen:

sudo iptables -A OUTPUT -j ACCEPT -m owner --uid-owner debian-tor 

localhost kommunizieren lassen:

sudo iptables -A OUTPUT -j ACCEPT -o lo 

Synchronisation für NTP zulassen. (Die IPs der Server müssen verwendet werden, da der Host sonst nicht aufgelöst werden kann):

sudo iptables -A OUTPUT -j ACCEPT -p udp --dport 123  

Hinweis:

Eine akkurate Systemzeit ist wichtig bei der Verwendung von Tor. Wird die Systemzeit nicht synchronisiert, kann das die Anonymität gefährden.

Alles, was nicht den oben genannten Filterregeln entspricht, wird ausgeschlossen:

sudo iptables -P OUTPUT DROP 

Neue Konfiguration sichern

sudo iptables-save > /Pfad/zu/iptables_TOR_only 

Jetzt kann man bequem zwischen den beiden Konfigurationen hin und her wechseln.

Zwischen den zwei Konfigurationen wechseln

Default iptables laden

sudo iptables-restore /Pfad/zu/iptables_default 

Nur Verbindungen über Tor zulassen

sudo iptables-restore /Pfad/zu/iptables_TOR_only 

Man könnte jetzt auch zwei Schnellstarter auf ein Panel legen und per Mausklick wechseln.

Hinweis:

Diese Konfiguration ist keine transparente Proxy-Konfiguration. Sie dient nur dazu, beim Browsen keine ungewollten Verbindungen außerhalb von Tor zuzulassen. Wie man allen Netzwerkverkehr über Tor routet, kann man hier nachlesen: Transparently Routing Traffic Through Tor 🇬🇧

Achtung!

Die Filterregeln mit iptables gehen bei jedem Neustart verloren.

Natürlich könnte man das System auch permanent mit TOR_only iptables starten lassen.

Intern

Extern

Diese Revision wurde am 29. Januar 2018 20:47 von Heinrich_Schwietering erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, Netfilter, Netzwerk, Paketfilter, Firewall, Internet, Tor