[torrc] -- Exitpolicies

Posted by Jens Kubieziel on Tuesday, 12. June 2007

Dies ist ein weiterer Beitrag in meiner Reihe “Optionen für Tor”. Heute möchte ich euch etwas zu Exitpolicies erzählen.

Exitpolicies betreffen euch, wenn ihr selbst einen Torserver betreibt. Denn da lässt sich einstellen, welche Rolle der Server innerhalb des Netzes übernimmt. Er kann zum einen einfach Traffic von einem Knoten zum nächsten weiterleiten ohne jemals ein Ausgang aus dem Tornetzwerk zu sein (Middleman). Zum anderen kann er auch so konfiguriert werden, dass selbst Verbindungen nach außen aufbaut (Exitserver). Der letzte Fall kann nochmal sehr fein mittels der Exitpolicies gesteuert werden, d.h. welche IPs oder Ports sollen angesprochen werden und welche nicht.

Grundsätzlich hat eine Exitpolicy die Form:

ExitPolicy accept ADRESSE/MASKE:PORT
ExitPolicy reject ADDRESSE/MASKE:PORT

Falls ihr keinerlei Verkehr zulassen wollt (Middleman), dann tragt ihr einfach ExitPolicy reject *:* in die torrc ein. Das bedeutet, dass sämtlicher Verkehr nach außen nicht zugelassen ist.

Nun könntet ihr auf die Idee kommen, dass euer Server auch allen Verkehr der auf meine Seite kommt zulassen wollt. Die IP meiner Seite ist 217.17.202.211. Also tragt ihr ExitPolicy accept 217.17.202.211:80 in die torrc ein. Wollt ihr eine ganze Spanne von Ports freigeben, dann könnt ihr ExitPolicy accept IP:n-m (n und m sind die Ports) schreiben. Ein kompletter IP-Adressraum kann mit der entsprechenden Maske angegeben werden, d.h. ExitPolicy accept 217.17.202.0/24:* würde die Adressen von 217.17.202.0 bis 217.17.202.999 freischalten. Der Stern sorgt gleichzeitig dafür, dass alle Ports bei diesen IP-Adressen angesprochen werden können (Keine Angabe von Ports bewirkt auch, dass alle angeprochen werden können.).

Die Optionen werden von oben nach unten bearbeitet und die erste passende Regel wird beachtet. Setzt ihr also:

ExitPolicy accept 217.17.202.211:80
ExitPolicy reject *:80

Darf kein HTTP-Port außer der obigen IP-Adresse angesprochen werden. Im Beispiel.

ExitPolicy reject *:80
ExitPolicy accept 217.17.202.211:80

dürfte kein HTTP-Port angesprochen werden, da bereits die erste Regel greift. Falls ihr also Exitpolicies fomuliert, arbeitet euch von speziellen zu allgemeinen Regeln durch.

Grundsätzlich solltet ihr Verkehr zu privaten IP-Adressen (10.*, 127.* etc.) verbieten. In den früheren Versionen musste man die Adressen explizit angeben. Heute kann man das Schlüsselwort private (Beispiel: ExitPolicy reject private) verwenden. Weiterhin könnt ihr auch die Option ExitPolicyRejectPrivate 1 (ist standardmäßig auch auf 1 gesetzt) setzen.

Ich hoffe, dass hilft euch, die Exitpolicies besser zu verstehen bzw. zu formulieren. Falls ihr noch Fragen habt, nutzt einfach die Kommentare.

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Name

Homepage

Comment

In reply to

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.

Standard emoticons like :-) and ;-) are converted to images.

BBCode format allowed

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Enter the string from the spam-prevention image above:

Phone*

What is six minus six?

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.

Form options

Remember Information?

Subscribe to this entry