Tor mit iptables absichern
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.
Artikel für fortgeschrittene Anwender
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Wenn man Tor eingerichtet hat und die Regeln zum anonymen Surfen beachtet, ist man ja eigentlich schon auf der sicheren Seite. Man könnte aber versehentlich Tor im Browser ausschalten, oder auch eine andere Anwendung, die aufs Internet zugreift, verwenden und so eine ungewollte Verbindung außerhalb von Tor starten. Auch Bugs in Firefox sind nicht ausgeschlossen. Diese Situation kann man verbessern, indem man mit einigen Firewall-Regeln ausgehende Verbindungen nur über Tor zulässt.
Voraussetzung¶
iptables ist üblicherweise in der Standardinstallation von Ubuntu enthalten. Ansonsten kann das entsprechende Paket
iptables
Befehl zum Installieren der Pakete:
sudo apt-get install iptables
Oder mit apturl installieren, Link: apt://iptables
nachinstalliert werden.
Einrichtung¶
In einem Terminal wendet man folgende Schritte nacheinander an.
Default Regeln sichern¶
sudo iptables-save > /Pfad/zu/iptables_default
Neue Regeln festlegen¶
Achtung!
Neue Regeln gelten sofort! Man sollte lokal am Rechner angemeldet sein, da sonst die Remote-Verbindung beendet wird.
Bestehende Regeln für OUTPUT löschen:
sudo iptables -F OUTPUT
Ausgehende Verbindungen für den Nutzer debian-tor zulassen:
sudo iptables -A OUTPUT -j ACCEPT -m owner --uid-owner debian-tor
localhost kommunizieren lassen:
sudo iptables -A OUTPUT -j ACCEPT -o lo
Synchronisation für NTP zulassen. (Die IPs der Server müssen verwendet werden, da der Host sonst nicht aufgelöst werden kann):
sudo iptables -A OUTPUT -j ACCEPT -p udp --dport 123
Hinweis:
Eine akkurate Systemzeit ist wichtig bei der Verwendung von Tor. Wird die Systemzeit nicht synchronisiert, kann das die Anonymität gefährden.
Alles, was nicht den oben genannten Filterregeln entspricht, wird ausgeschlossen:
sudo iptables -P OUTPUT DROP
Neue Konfiguration sichern¶
sudo iptables-save > /Pfad/zu/iptables_TOR_only
Jetzt kann man bequem zwischen den beiden Konfigurationen hin und her wechseln.
Zwischen den zwei Konfigurationen wechseln¶
Default iptables laden¶
sudo iptables-restore /Pfad/zu/iptables_default
Nur Verbindungen über Tor zulassen¶
sudo iptables-restore /Pfad/zu/iptables_TOR_only
Man könnte jetzt auch zwei Schnellstarter auf ein Panel legen und per Mausklick wechseln.
Hinweis:
Diese Konfiguration ist keine transparente Proxy-Konfiguration. Sie dient nur dazu, beim Browsen keine ungewollten Verbindungen außerhalb von Tor zuzulassen. Wie man allen Netzwerkverkehr über Tor routet, kann man hier nachlesen: Transparently Routing Traffic Through Tor 🇬🇧
Achtung!
Die Filterregeln mit iptables gehen bei jedem Neustart verloren.
Natürlich könnte man das System auch permanent mit TOR_only iptables starten lassen.
Links¶
Intern¶
Extern¶