Kami mengasumsikan Anda sudah membaca panduan relay dan pertimbangan teknis sebelumnya. Subhalaman ini untuk operator yang ingin mengaktifkan exit pada relay mereka.

Direkomendasikan agar Anda menyiapkan exit relay pada server yang didedikasikan untuk tujuan ini. Tidak direkomendasikan menginstal Tor exit relay pada server yang juga Anda perlukan untuk layanan lain. Jangan mencampur lalu lintas Anda sendiri dengan lalu lintas exit relay Anda.

Reverse DNS dan catatan WHOIS

Sebelum mengubah relay non-exit Anda menjadi exit relay, pastikan Anda telah menyetel catatan reverse DNS (PTR) agar lebih jelas bahwa ini adalah tor exit relay. Sesuatu seperti "tor-exit" dalam namanya adalah awal yang baik.

Jika penyedia Anda menawarkannya, pastikan catatan WHOIS Anda memuat indikasi yang jelas bahwa ini adalah Tor exit relay.

Gunakan nama domain yang Anda miliki. Pasti jangan gunakan torproject.org sebagai nama domain untuk reverse DNS Anda.

Halaman HTML Exit Notice

Untuk membuatnya semakin jelas bahwa ini adalah Tor exit relay, Anda sebaiknya menyajikan halaman HTML pemberitahuan exit Tor. Tor dapat melakukannya untuk Anda: jika DirPort Anda berada pada port TCP 80, Anda dapat memanfaatkan fitur DirPortFrontPage milik tor untuk menampilkan file HTML pada port tersebut. File ini akan ditampilkan kepada siapa pun yang mengarahkan browser mereka ke alamat IP Tor exit relay Anda.

Jika Anda belum menyiapkannya sebelumnya, baris konfigurasi berikut harus diterapkan pada torrc Anda:

DirPort 80
DirPortFrontPage /path/to/html/file

Kami menyediakan contoh file HTML pemberitahuan exit Tor, tetapi Anda mungkin ingin menyesuaikannya sesuai kebutuhan Anda.

Kami juga memiliki posting blog yang bagus dengan beberapa kiat tambahan untuk menjalankan exit relay.

Catatan: DirPort sudah tidak digunakan lagi sejak Tor 0.4.6.5, dan pengujian mandiri tidak lagi ditampilkan di log tor. Untuk informasi lebih lanjut, baca catatan rilis dan tiket #40282.

Kebijakan exit

Menentukan exit policy adalah salah satu bagian terpenting dari konfigurasi exit relay. Exit policy mendefinisikan port tujuan mana yang bersedia Anda teruskan. Ini berdampak pada jumlah email penyalahgunaan yang akan Anda terima (lebih sedikit port berarti lebih sedikit email penyalahgunaan, tetapi exit relay yang hanya mengizinkan sedikit port juga kurang berguna). Jika Anda ingin menjadi exit relay yang berguna, Anda harus setidaknya mengizinkan port tujuan 80 dan 443.

Sebagai exit relay baru—terutama jika Anda baru pada hoster Anda—sebaiknya memulai dengan exit policy yang diperkecil (untuk mengurangi jumlah email penyalahgunaan) dan kemudian semakin dibuka seiring Anda makin berpengalaman. Exit policy yang diperkecil dapat ditemukan di halaman wiki Reduced Exit Policy.

Untuk menjadi exit relay, ubah ExitRelay dari 0 menjadi 1 dalam file konfigurasi torrc Anda dan restart daemon tor.

ExitRelay 1

DNS pada Exit Relay

Tidak seperti jenis relay lainnya, exit relay juga melakukan resolusi DNS untuk klien Tor. Resolusi DNS pada exit relay sangat krusial bagi klien Tor dan harus andal serta cepat dengan menggunakan caching.

• Resolusi DNS dapat berdampak signifikan pada kinerja dan keandalan yang disediakan exit relay Anda.
• Jangan gunakan resolver DNS besar (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6) sebagai resolver DNS utama atau fallback Anda untuk menghindari sentralisasi.
• Kami merekomendasikan menjalankan resolver lokal yang melakukan caching dan memvalidasi DNSSEC tanpa menggunakan forwarder apa pun (instruksi spesifik mengikuti di bawah, untuk berbagai sistem operasi).
  • Jika Anda ingin menambahkan resolver DNS kedua sebagai fallback ke konfigurasi /etc/resolv.conf Anda, pilih resolver di dalam autonomous system Anda dan pastikan bahwa itu bukan entri pertama di file tersebut (entri pertama seharusnya resolver lokal Anda).
  • Jika resolver lokal seperti unbound bukan opsi bagi Anda, gunakan resolver yang dijalankan penyedia Anda dalam autonomous system yang sama (untuk mencari tahu apakah sebuah alamat IP berada di AS yang sama dengan relay Anda, Anda dapat mencarinya menggunakan bgp.he.net).
• Hindari menambahkan lebih dari dua resolver ke file /etc/resolv.conf Anda untuk membatasi paparan level-AS dari kueri DNS.
• Pastikan resolver lokal Anda tidak menggunakan alamat IP sumber keluar apa pun yang digunakan oleh Tor exit atau non-exit mana pun, karena tidak jarang IP Tor (sementara) diblokir dan alamat IP sumber resolver DNS yang diblokir dapat berdampak luas. Untuk unbound Anda dapat menggunakan opsi outgoing-interface untuk menentukan alamat IP sumber untuk menghubungi server DNS lain.
• Operator exit besar (>=100 Mbit/s) sebaiknya berupaya memantau dan mengoptimalkan tingkat timeout resolusi DNS Tor. Ini dapat dicapai melalui exporter Prometheus Tor (MetricsPort). Metrik berikut dapat digunakan untuk memantau tingkat timeout sebagaimana dilihat oleh Tor:

tor_relay_exit_dns_error_total{reason="timeout"} 0

Ada beberapa opsi untuk perangkat lunak server DNS. Unbound telah menjadi yang populer, tetapi silakan gunakan perangkat lunak lain apa pun yang Anda nyaman menggunakannya. Saat memilih perangkat lunak resolver DNS Anda, pastikan perangkat lunak tersebut mendukung validasi DNSSEC dan minimalisasi QNAME (RFC7816). Instal perangkat lunak resolver melalui package manager sistem operasi Anda, untuk memastikan perangkat lunak tersebut diperbarui secara otomatis.

Dengan menggunakan resolver DNS Anda sendiri, Anda lebih tidak rentan terhadap sensor berbasis DNS yang mungkin diberlakukan oleh resolver upstream Anda.

Di bawah ini adalah instruksi tentang cara menginstal dan mengonfigurasi Unbound—resolver yang memvalidasi DNSSEC dan melakukan caching—pada exit relay Anda. Unbound memiliki banyak opsi konfigurasi dan tuning, tetapi kami menjaga instruksi ini sederhana dan singkat; penyiapan dasar sudah cukup baik untuk sebagian besar operator.

Setelah beralih ke Unbound, verifikasi bahwa Unbound berfungsi sesuai harapan dengan melakukan resolusi hostname yang valid. Jika tidak berfungsi, Anda dapat memulihkan file /etc/resolv.conf lama Anda.