Ceci est une ancienne révision du document !
Si l'on part sur l'administration d'un serveur.
C'est aux utilisateur-trice-s de garantir leur propre anonymat (le plus possible a l'extrêmité du canal). Nous ne sommes pas des auxiliaires de police, mais la loi nous impose de stocker les IP de connexion. Dans ce contexte, on pourrait configurer le firewall de sorte a ne laisser passer que les ip provenant d'un noeud tor, c'est a dire que l'anonymat reste dans les mains de l'utilisateur-ice, mais que nous ne la mettons pas en danger si ca n'est pas fait.
Ca parait assez restrictif, surtout en pensant au fait qu'une connexion effectuée à travers TOR ralenti considérablement le débit. Ce n'est peut-être pas si gênant que ça pour la consultation sur un webmail, mais dans le cas d'un téléchargement de pièce jointe ça peut devenir vraiment handicapant…
Quelques liens pour lister les ip des noeuds sortants de tor
Attention, il semble que certains noeuds tor n'utilisent pas la meme ip en entree qu'en sortie, donc certaines listes ne sont pas valables. Laquelle choisir? Experimentalement (essai rapide pour voir), Tor_ip_list_EXIT.csv marche bien.
wget https://torstatus.kgprog.com/ip_list_exit.php/Tor_ip_list_EXIT.csv --certificate=XXXX
ou XXX est le nom du fichier qui contient le certificat.
L'idee est d'utiliser le module "ipt_recent" d'iptables/netfilter.
Dans un fichier quelconque du repertoire /etc/modprobe.d/ ecrire la ligne
options ipt_recent ip_list_tot=10000
Pour bloquer les adresses non-tor sur le port 443 (https) :
iptables -A INPUT -p tcp --dport 443 -m recent ! --rcheck --name tor -j DROP
La meme avec tous les ports dont on aura probablement besoin (au moins https,imaps,pop3s) :
iptables -A INPUT -p tcp -m multiport --dports 443,993,995 -m recent ! --rcheck --name tor -j DROP
for i in $(cat Tor_ip_list_EXIT.csv) ; do echo $i > /proc/net/ipt_recent/tor ; done
Pour ce qui est de la mise a jour de la liste, on peut vider la liste avec
echo clear > /proc/net/ipt_recent/tor
Du coup ca peut valoir le coup d'avoir 2 listes tor1 et tor2 a mettre a jour alternativement de sorte a ce qu'il n'y ait pas de probleme lors de la mise a jour de l'une d'entre elles (liste vide donc aucune connexion possible).
On pourrait mettre un wiki sur le port 443 (https) qui serait modifiable et accessible que par les personnes utilisant tor (donc pas de pb de stockage d'ip) et une copie statique de ce wiki sur le port 80 (http) qui serait accessible par tout le monde. Verifier qu'il n'est pas necessaire de loguer la seule lecture d'une pag web.
De meme, on pourrait filtrer le port 22 (ssh), mais laisser aussi ecouter ssh sur un port non standard qui ne serait pas filtre en cas de probleme avec la liste des noeuds de sortie tor.