Etwas für Genießer

Dieser kurze Abschnitt soll ein paar Klischees bedienen: "Linux ist ein richtiges Full-Text-Adventures." oder "Real man use only self written firewall rules."
Wer sich nicht angesprochen fühlt, kann es ignorieren.

Mit wenigen Regeln für die netfilter Firewall des Linux Kernels kann man den gesamten Traffic eines bestimmten Users durch das Onion Router Netz jagen. Man spart die Konfiguration verschiedener Programme für Tor, wenn man mehr als den Webbrowser via Tor nutzen möchte.
  1. Das Anlegen eines neuen Users "toruser" und Passwort setzen kann mit verschiedenen GUIs oder auf der Kommandozeile erledigt werden: > sudo useradd -m toruser
    ...
    > sudo passwd toruser
  2. Ein minimaler Regelsatz für iptables blockiert alles, was von außen rein will und gibt evtl. einzelne Dienste frei: #!/bin/sh

    IPT=/sbin/iptables

    # Alle Werte zurücksetzen
    $IPT -t mangle -F
    $IPT -t mangle -X
    $IPT -t nat -F
    $IPT -t nat -X
    $IPT -F
    $IPT -X

    # forwarding deaktivieren
    echo 0 > /proc/sys/net/ipv4/ip_forward

    # Default-Policies setzen
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT

    # loopback freischalten
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT

    # Antworten auf bestehende Verbindungen erlauben
    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # CUPS erlauben
    $IPT -A INPUT -i $IFACE -p tcp --dport 631 -j ACCEPT

    # letzte Zeile
    $IPT -A INPUT -j DROP
    Im Beispiel ist der Druckdienst CUPS (Port: 631) auf dem Rechner erreichbar. Diese Regel kann man entfernen, wenn der Rechner keine Drucker für andere bereitstellt oder modifizieren, wenn andere Dienste erreichbar sein sollen.
  3. Diesem minimalen Regelsatz werden folgende Regeln vor der letzten Zeile hinzugefügt, um den Datenverkehr des "toruser" durch das Tor Netz zu schicken: $IPT -t nat -A OUTPUT -p tcp -m owner --uid-owner toruser
         -m tcp --syn -j REDIRECT --to-ports 9040
    $IPT -t nat -A OUTPUT -p udp -m owner --uid-owner toruser
         -m udp --dport 53 -j REDIRECT --to-ports 1053
    $IPT -A OUTPUT -m owner --uid-owner toruser -j DROP
  4. Das fertige Firewall Script könte man in /etc/network/if-up speichern und die Berechtigungen als ausführbar setzen, oder man fügt es als Script in die Datei /etc/network/interfaces direkt ein: # The primary network interface
    allow-hotplug eth0
    iface eth0 inet static
         up /usr/local/bin/firewall.sh
         network 192.168.0.0
         broadcast 192.168.0.255
         dns-nameservers 127.0.0.1
         dns-search local.myhome.de
         address 192.168.0.42
         netmask 255.255.255.0
         gateway 192.168.0.1
  5. In der Tor-Konfiguration /etc/tor/torrc sind folgende Zeilen zu ergänzen: AutomapHostsOnResolve 1
    TransPort 9040
    DNSPort 1053
  6. Um ein Programm zu torifizieren, startet man es unter der UID "toruser". Für grafische Tools kann man kdesu oder gksu verwenden, auf der Konsole reicht ein sudo: > kdesu -u toruser kmail

    > gksu -u toruser pidgin

    > sudo -H -u toruser irssi
Lizenz: Public Domain | Quelle: awxcnx.de | gespiegelt von almnet.de | Impressum