Presumimos que você já leu o guia de relés e as considerações técnicas. Esta subpágina é para operadores que desejam ativar a saída em seus relés.
É recomendável que você configure os nós de saída em servidores dedicados a esse propósito.
Não é recomendável instalar nós de saída do Tor em servidores que você usa para outros serviços.
Não misture seu próprio tráfego com o tráfego do seu nó de saída.
DNS reverso e registro WHOIS
Antes de transformar seu relé sem saída em um relé de saída, certifique-se de ter definido um registro DNS reverso (PTR) para tornar mais óbvio que se trata de um relé de saída Tor. Algo como "tor-exit" no nome é um bom começo.
Se o seu provedor oferecer isso, certifique-se de que seu registro WHOIS contenha indicações claras de que este é um relé de saída Tor.
Use um nome de domínio que seja seu. Evitar usar torproject.org como nome de domínio para o seu DNS reverso.
Página HTML de Aviso de Saída
Para ser mais claro que este é um nó de saída do Tor, você deve exibir uma página HTML de aviso de nó de saída do Tor.
O Tor pode fazer isso por você: se o seu DirPort estiver na porta TCP 80, você pode usar o recurso DirPortFrontPage do tor para exibir um arquivo HTML nessa porta.
Este arquivo será mostrado para qualquer um direcionando o navegador para o endereço IP do seu retransmissor de saída Tor.
Se você não configurou isso antes, as seguintes linhas de configuração devem ser aplicadas ao seu torrc:
DirPort 80
DirPortFrontPage /path/to/html/file
Oferecemos um arquivo HTML de exemplo de aviso de saída do Tor, mas você pode querer ajustá-lo às suas necessidades.
Também temos uma ótima postagem no blog com mais algumas dicas para executar um relé de saída.
Nota: DirPort está obsoleto desde o Tor 0.4.6.5, e os autotestes não são mais exibidos nos logs do tor.
Para mais informações, leia as notas de lançamento e o ticket #40282.
Política de saída
Definir a política de saída é uma das partes mais importantes da configuração de um retransmissor de saída.
A política de saída define quais portas de destino você deseja encaminhar.
Isso tem um impacto na quantidade de e-mails abusivos que você receberá (menos portas significa menos e-mails abusivos, mas um nó de saída permitindo apenas algumas portas também é menos útil).
Se você quiser ser um nó de saída útil, deve pelo menos permitir as portas de destino 80 e 443 .
Como um novo retransmissor de saída - especialmente se você é novo para o seu hospedeiro - é bom iniciar com uma política de saída reduzida (para diminuir a quantidade de emails de abuso) e futuramente expandi-la na medida que você se torne mais experiente.
A política de saída reduzida pode ser encontrada na página wiki Política de Saída Reduzida.
Para se tornar um relé de saída, altere ExitRelay de 0 para 1 no seu arquivo de configuração torrc e reinicie o daemon tor.
ExitRelay 1
DNS em nós de saída
Ao contrário de outros tipos de retransmissores, os de saída fazem também resolução de DNS para clientes Tor.
Resolução DNS nos retransmissores de saída é crucial para os clientes Tor e isso deve ser confiável e rápido ao usar 'caching'.
- Resolução de DNS podem ter um impacto significativo na performance e confiabilidade que o seu retransmissor de saída fornece.
- Não use nenhum dos grande resolvedores de DNS (Google, OpenDNS, Quad9, Cloudfare, 4.2.2.1.-6) como seu resolvedor princial ou substituto de DNS para evitar centralização.
- Nós recomendamos executar um caching local e um revolvedor DNSSEC-validador sem usar nenhum encaminhador ( para instruções específicas, vários sistemas operacionais, siga abaixo).
- Se você quiser adicionar um segundo resolvedor DNS como fallback para sua configuração
/etc/resolv.conf, escolha um resolvedor dentro do seu sistema autônomo e certifique-se de que ele não seja sua primeira entrada naquele arquivo (a primeira entrada deve ser seu resolvedor local).
- Se um revolvedor como o Unbound não é uma opção para você, use um revolvedor que o seu provedor executa no mesmo sistema autônomo (para descobrir se um endereço de IP está no mesmo SA que o seu retransmissor, você pode verificar isso usando bgp.he.net).
- Evite adicionar mais de dois resolvedores ao seu arquivo
/etc/resolv.conf para limitar a exposição de consultas DNS no nível do AS.
- Certifique-se de que seu resolvedor local não use nenhum endereço IP de origem de saída usado por qualquer saída ou não saída do Tor, porque não é incomum que IPs do Tor sejam bloqueados (temporariamente) e um endereço IP de origem de resolvedor DNS bloqueado pode ter um grande impacto.
Para não vinculado, você pode usar a opção
outgoing-interface para especificar os endereços IP de origem para contato com outros servidores DNS.
- Grandes operadores de saída (>=100 Mbit/s) devem se esforçar para monitorar e otimizar a taxa de tempo limite de resolução de DNS do Tor.
Isso pode ser feito por meio do exportador Prometheus do Tor (
MetricsPort).
A seguinte métrica pode ser usada para monitorar a taxa de tempo limite vista pelo Tor:
tor_relay_exit_dns_error_total{reason="timeout"} 0
Existem múltiplas opções para programas de servidor DNS Unbound se tornou
um software popular, mas fique à vontade para usar qualquer outro software com o qual você se sinta confortável.
Quando estiver escolhendo seu programa de resolvedor DNS, tenha certeza que ele suporta validação DNSSEC e minimização (RFC7816) QNAME .
Instale o programa resolvedor através do administrador de pacotes do seu sistema operacional, para garantir que esteja atualizado automaticamente.
Ao usar seu próprio resolvedor DNS, você esta menos vulnerável à censura baseada em DNS que o seu resolvedor acima pode impor.
Abaixo estão as instruções sobre como instalar e configurar o Unbound - um resolvedor de validação e cache DNSSEC - no seu relé de saída. O Unbound possui muitos botões de configuração e ajuste, mas mantemos estas instruções simples e concisas; a configuração básica será suficiente para a maioria das operadoras.
Após alternar para o Unbound, verifique se funciona conforme o esperado, resolvendo um nome de host válido. Se não funcionar, você pode restaurar o arquivo antigo /etc/resolv.conf.