tor出口ノードのiptables
オープンなTorルーターを実行したい。 私の終了ポリシーはReducedExitPolicyに似ています。 しかし、私はまた、torネットワークが私のリソースを乱用しないようにしたいと思っています。 クライアントがTorを介して実行できないようにするケース: 非常に多くのパケットで1つのサイトを叩きます。 IPブロック全体のAggresiveネットスキャン クライアントがTorを介して実行するのを防ぎたくない場合: 数百の画像ファイルをクラウドにアップロードする 急流に種をまく 私の質問は、これをまったく行うことができますか、そしてどのようにですか? 私の最初の考えはいくつかのファイアウォール(Linux / iptablesまたは* BSD / ipfw / pf)でした-しかし、オニオンルーターの固有のプロパティのため、これはおそらく役に立たないでしょう。 このトピックに関して、進行中のtorprojectチームの開発はありますか? Tor出口ノードを保護するための一般的なヒントも求めます。 アップデート(2012年9月) 役立つ回答やその他の調査から、これは実行できないと思います。 出口ノードを悪用してDDOSに寄与するのを防ぐためにできる最善の方法は、1つのIPに向けられた非常に頻繁なパケットを検出することです。 「非常に頻繁な」しきい値は、ノードの合計帯域幅に依存します...間違っていると、誤検知が発生し、リアルタイムTCPアプリの正当なトラフィックと、非常に多くのクライアントから1つの宛先に送信されるトラフィックがブロックされます。 アップデート(2014年12月) 私の予測は明らかに真実でした-私はインターネットプロバイダーからいくつかのネットワーク乱用の苦情がありました。 サービスのシャットダウンを回避するために、次の一連のiptablesルールを使用する必要がありました(ONEW発信TCP SYN(別名NEW)パケットのチェーンです)。 それで十分かどうかはわかりませんが、ここにあります: -A ONEW -o lo -j ACCEPT -A ONEW -p udp --dport 53 -m limit --limit 2/sec --limit-burst 5 -j ACCEPT -A …