1. Включите автоматическое обновление программ

Одно из главных условий защиты узла – своевременно устанавливать обновления безопасности. Лучше делать это автоматически, чтобы не забыть. Следуйте инструкциям по включению автоматического обновления программ для вашей операционной системы.

2. Загрузите pkg

Ежедневные обновления DragonFlyBSD и релизы (начиная с 3.4) включают pkg. Но при обновлении старой версии этого пакета не будет. Если по той или иной причине pkg отсутствует, его можно быстро добавить без необходимости компилирования из исходника и даже без установки DPorts:

# cd /usr
# make pkg-bootstrap
# rehash
# pkg-static install -y pkg
# rehash
2.1. Советы по настройке pkg

Здесь мы наблюдаем что-то похожее на FreeBSD. Будем использовать HTTPS для получения пакетов и обновлений. Нам понадобится дополнительный пакет (ca_root_nss).

# pkg install ca_root_nss

Если устанавливать с нуля, файл /usr/local/etc/pkg/repos/df-latest.conf.sample будет скопирован в папку /usr/local/etc/pkg/repos/df-latest. Файлы с расширением ".sample" будут проигноированы; pkg(8) читает только файлы, оканчивающиеся на ".conf", столько, сколько обнаружит.

У DragonflyBSD есть два репозитория:

  • Avalon (mirror-master.dragonflybsd.org);
  • Wolfpond (pkg.wolfpond.org).

Можно просто отредактировать URL, который указывает на репозитории: /usr/local/etc/pkg/repos/df-latest. Вот и всё. Не забудьте использовать pkg+https:// для Avalon.

После того, как все изменения вступят в силу, обновите список пакетов и проверьте, нет ли каких-то новых обновлений:

# pkg update -f
# pkg upgrade -y -f

3. Установите Tor

Устанавливаем самую свежую стабильную версию (рекомендуется):

# pkg install tor

Или установите альфа-версию:

# pkg install tor-devel

4. Установите obfs4proxy

# pkg install obfs4proxy-tor

5. Найдите файл настроек Tor (обычно тут: /usr/local/etc/tor/torrc), откройте и замените содержимое на:

BridgeRelay 1

# Замените "TODO1" портом Tor по своему выбору. 
# Этот порт должен быть доступен извне.
# Избегайте порта 9001. Он обычно ассоциируется с Tor. Цензоры могут знать об этом, просматривая Интернет.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/local/bin/obfs4proxy

# Замените "TODO2" портом obfs4 по своему выбору.
# Этот порт должен быть доступен извне и отличаться от порта, указанного для ORPort.
# Избегайте порта 9001. Он обычно ассоциируется с Tor. Цензоры могут знать об этом, просматривая Интернет.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Местный коммуникационный порт между Tor и obfs4. Всегда выбирайте значение "auto".
# "Ext" значит "расширенный", а не "внешний". Не пытайтесь установить конкретный номер порта или слушать 0.0.0.0.
ExtORPort auto

# Замените "<address@email.com>" вашим адресом email, чтобы мы могли связаться с вами в случае проблем с вашим мостом.
# Это необязательно, но желательно.
ContactInfo <address@email.com>

# Выберите название для своего моста. (Это необязательно).
Nickname PickANickname

Не забудьте изменить опции ORPort, ServerTransportListenAddr, ContactInfo и Nickname.

  • Обратите внимание: и OR-порт Tor, и порт obfs4 должны быть доступны. Если ваш мост находится за межсетевым экраном или NAT, убедитесь, что оба порта открыты. Чтобы проверить, доступен ли obfs4-порт из Интернета, можете использовать наш тест.

6. Запустите Tor

# echo "tor_setuid=YES" >> /etc/rc.conf`
# echo "tor_enable=YES" >> /etc/rc.conf`
# service tor start

7. Следите за логами

Доказательством того, что ваш мост работает без проблем, служит примерно такая запись (обычно в /var/log/tor/log или /var/log/syslog):

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. В завершение

Если у вас проблемы с настройкой моста, обратите внимание на наш раздел помощи. Если ваш мост работает прямо сейчас, загляните в примечания после установки.