DEBIAN TOR Only node - Hidden service

War room

31. desember 2023

Jeg prøver å sette opp en TOR-only node, men strenge brannmur regler. Mao, akseptere utgående DHCP request og acceptere innkommende responsan. I tillegg skal den tillate all traffic på lo interfacen. Uten om dette, så skal den tillate TOR klienten å kommunisere ut. Denne maskinen skal kjøre 3 tjenester som ligg som hidden service i
/etc/tor/torrc-filen:

Kode

SocksPort 9050
SocksPolicy accept 127.0.0.1
Log notice file /var/log/tor/notices.log
Log debug file /var/log/tor/debug.log
RunAsDaemon 1
DataDirectory /var/lib/tor

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 22 127.0.0.1:22
HiddenServicePort 1000 127.0.0.1:1000
HiddenServicePort 1002 127.0.0.1:1002

DNSPort 53

Ja, jeg veit at det er god praksis å bruke forskjellige hostname til de forskjellige tjeneste for å hindre målrettet angrep, men dette er bare en test.

Problemet er at disse ikkje fungerer, eller det ser ut som TOR prøver å bruke alle slags porter på å koble ut til verden. Jeg har satt opp ganske strenge iptables regler for TOR.

Kode

/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m  conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -m owner --uid-owner debian-tor -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

Har også prøvd å åpne TCP port 9001 for TOR på samme måte som over, men uten hell. Det jeg stusser på er at TOR prøver å koble til på alle slags tenkelige porter, har lagt inn

Kode

-j LOG --log-uid

for å finne ut hvem som sender disse pakkene. Og det er helt klart TOR.

Kode

[IPTables OUTPUT]IN= OUT=eth0 SRC=192.168.1.16 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45338 DF PROTO=TCP SPT=50932 DPT=4443 WINDOW=64240 RES=0x00 SYN URGP=0 UID=107 GID=111

xxx.xxx.xxx.xxx = public IP address (no one knowns where it goes).
UID=107 = debian-tor
GID=111 = debian-tor

Og det er jo ikkje noe tvil om at TOR suksessfult har koblet seg til nettverket. Når jeg lister ut syslogen så kjem det helt klart frem.

Kode

Bootstrapped 10% (conn_done): Connected to a relay
Dec 30 22:36:11.000 [notice] Bootstrapped 14% (handshake): Handshaking with a relay
Dec 30 22:36:12.000 [notice] External address seen and suggested by a directory authority: xxx.xxx.xxx.xxx
Dec 30 22:36:12.000 [notice] Bootstrapped 15% (handshake_done): Handshake with a relay done
Dec 30 22:36:12.000 [notice] Bootstrapped 75% (enough_dirinfo): Loaded enough directory info to build circuits
Dec 30 22:36:13.000 [notice] Bootstrapped 85% (ap_conn_done): Connected to a relay to build circuits
Dec 30 22:36:13.000 [notice] Bootstrapped 89% (ap_handshake): Finishing handshake with a relay to build circuits
Dec 30 22:36:14.000 [notice] Bootstrapped 90% (ap_handshake_done): Handshake finished with a relay to build circuits
Dec 30 22:36:14.000 [notice] Bootstrapped 95% (circuit_create): Establishing a Tor circuit
Dec 30 22:36:14.000 [notice] Bootstrapped 100% (done): Done
Dec 30 22:37:21.000 [notice] Now checking whether IPv4 ORPort xxx.xxx.xxx.xxx:9001 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
Dec 30 22:56:11.000 [warn] Your server has not managed to confirm reachability for its ORPort(s) at xxx.xxx.xxx.xxx:9001. Relays do not publish descriptors until their ORPort and DirPort are reachable. Please check your firewalls, ports, address, /etc/hosts file, etc.

xxx.xxx.xxx.xxx = Min public ip address.

Men slik jeg har forstått det så er ett minimumskrav til at TOR fungerer å ha TCP port 443 åpen ut mot internett. Har også prøvd å åpne TCP 9001 etter å ha sett denne forekomme ganske ofte i syslog filen uten at det har hjulpet noe. Jeg for ikkje kommunisert ut mot TOR nettverket, og når ikke hidden service fra utsiden. Så er spørsmålet, hvorfor prøver TOR å kommunisere på random TCP/UDP porter 28000+, og holder det med å bare åpne port 443? Jeg har også en DNSPort stående å kjøre på TOR daemon, denne fungerer. Har satt 127.0.0.1:53 i resolv.conf, og for fint requested DNS med respons.