Достаточно просто с iptables. У него могут быть правила, которые соответствуют конкретным пользователям, и вы должны уже настроить torзапуск под своим собственным идентификатором пользователя; Пакеты deb и rpm, предоставляемые основными дистрибутивами Linux, и Tor Project уже настроили пользователя для Tor.
Полный образец, используемые iptables и конфигурации Tor приведены ниже. Этот брандмауэр можно загрузить с помощью iptables-restoreкоманды. Конечный результат этой конфигурации будет прозрачно направлять весь трафик, исходящий от хоста Tor или пересылаемый через него, без необходимости настройки прокси-серверов. Эта конфигурация должна быть герметичной; хотя вы должны, конечно, тщательно его проверить.
Обратите внимание, что uid для пользователя tor (здесь 998) хранится в числовой форме в iptables. Замените правильный uid для своего пользователя tor в каждом месте, где оно появляется.
Также обратите внимание, что IP-адрес хоста должен быть указан в первом правиле для поддержки входящего трафика внешней сети и трафика локальной сети, адресованного непосредственно хосту (здесь показано как 198.51.100.212). Если у вас несколько IP-адресов, повторите правило для каждого адреса.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 198.51.100.212/32 -j RETURN
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
-A OUTPUT -o lo -j RETURN
-A OUTPUT -m owner --uid-owner 998 -j RETURN
-A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 49151
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp -d 127.0.0.1 --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPv4 REJECT INPUT: "
-A FORWARD -j LOG --log-prefix "IPv4 REJECT FORWARD: "
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 49151 -j ACCEPT
-A OUTPUT -m owner --uid-owner 998 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPv4 REJECT OUTPUT: "
COMMIT
Правило ssh INPUT разрешает соединения, только если они приходят через локальный хост, то есть скрытый сервис Tor. Если вы также хотите разрешить входящие ssh-соединения через clearnet, удалите -d 127.0.0.1.
Соответствующий torrcфайл:
User toranon
SOCKSPort 9050
DNSPort 53
TransPort 49151
AutomapHostsOnResolve 1
Эта конфигурация требует, чтобы хост имел статический IP-адрес. Для ожидаемых вариантов использования вполне вероятно, что вы уже запланировали, чтобы он имел статический IP-адрес.
И наконец, выходной!
[root@unknown ~]# curl ifconfig.me
31.31.73.71
[root@unknown ~]# host 31.31.73.71
71.73.31.31.in-addr.arpa domain name pointer cronix.sk.
[root@unknown ~]# curl ifconfig.me
178.20.55.16
[root@unknown ~]# host 178.20.55.16
16.55.20.178.in-addr.arpa domain name pointer marcuse-1.nos-oignons.net.