Tor-Exit zu Hause betreiben

[manes]

hallo forum,

neulich habe ich mich bemüht, einen torserver in einer fritzbox mit modifizierter firmware zu installieren. ging auch, irgendwie, aber anschließend hatte ich beständige verbindungsabbrüche, mußte mich ständig re-connecten und sooo große lust, mich mit dem freetz-kram zu beschäftigen hatte ich dann auch nicht, so daß ich alles wieder rückgängig gemacht habe, die schwachbrüstige fritzbox nur routen lasse, und auf einem alten pentium-m-notebook ein sehr basales debian als torserver installiert und als exit-router eingerichtet habe. funktioniert alles bestens.
der server hängt jetzt also, wie mein arbeitsrechner, hinter einem handelsüblichen router und wird über ein portforwarding angesprochen.
jetzt endlich zu meiner frage, die ich auf den wirklich ausführlichen torproject-seiten nicht beantwortet finde: gibt es eine möglichkeit, in der gegebenen konstellation einen hinweis verfügbar zu machen wie diesen hier (»Most likely you are accessing this website because you had some issue with the traffic coming from this IP. This router is part of the Tor Anonymity Network, which...«). ich kann ja schlecht nen webserver aufsetzen und port 80 dorthin umleiten, wenn ich selber noch netzklicken möchte von meinem arbeitsrechner aus, oder?

grüße
manes

[Danielx]

ich kann ja schlecht nen webserver aufsetzen und port 80 dorthin umleiten, wenn ich selber noch netzklicken möchte von meinem arbeitsrechner aus, oder?

Doch, das geht schon, denn wenn du im Internet z.B. auf debian.org surfst, werden die Pakete zwar an den Port 80 von debian.org gesendet, die Antwortpakete zu dir gehen aber nicht an Port 80, sondern an einen Port > 1024.

Gruß,
Daniel

[portishead]

Hi,

willst Du wirklich einen Exit-Node zu Hause betreiben? Ich habe zur Zeit einen kleinen Relay auf einem V-Server laufen, würde aber gerne einen richtigen dedizierten Server mieten und ihn als Exit-Node einsetzen. Mir alleine ist das zu teuer und ich suche noch Leute die sich beteiligen...

Falls Du oder jemand anderes Interesse hat - pn

Grüße,
portishead

[manes]

ich kann ja schlecht nen webserver aufsetzen und port 80 dorthin umleiten, wenn ich selber noch netzklicken möchte von meinem arbeitsrechner aus, oder?

Doch, das geht schon, denn wenn du im Internet z.B. auf debian.org surfst, werden die Pakete zwar an den Port 80 von debian.org gesendet, die Antwortpakete zu dir gehen aber nicht an Port 80, sondern an einen Port > 1024.

Gruß,
Daniel

danke, daniel,
es geht! ich finde es aber sehr merkwürdig, daß ich jeden reinkommenden verkehr auf port 80 an den kleinen server leite und die reinkommenden antworten auf meine browseranfragen trotzdem korrekt auf meinen arbeitsrechner geleitet werden. das ist dieses nat-dings mit den routingtabellen, wa?

willst Du wirklich einen Exit-Node zu Hause betreiben? (…) würde aber gerne einen richtigen dedizierten Server mieten und ihn als Exit-Node einsetzen. Mir alleine ist das zu teuer und ich suche noch Leute die sich beteiligen...

hm, meinen dsl-provider hab ich vorsorglich mal darüber informiert und solange es nicht ausdrücklich verboten ist… mal sehen, ob ich jetzt abmahnungen erleide oder was. die 200kb/s von ~600kb/s upload an der 25mbit-leitung kann ich gut verkraften und zahle außer strom (ein uraltes thinkpad x40, wlan u bt abgeschaltet, kein display, keine festplatte, sicher <10W/h) nix extra.

grüße
manes

[manes]

kleines update:
gestern hat mir der hiesige telefonprovider für ein paar stunden die datenleitung zugedreht, weil über meinen dsl-account (also wohl den exitnode) spam verschickt würde.
es gibt einen maschinellen mechanismus, die leitung wieder zu öffnen, mit ein paar klicks auf »ja, ich habe meinen virenscanner aktualisiert« usw.
habe sicherheitshalber port 110 25 für den exitnode geschlossen, unverschlüsselt sollte man ja auch über tor keine post verschicken. damit sollte *dieses* problem nicht wieder auftreten.
grüße
manes

[CH777]

Ich hoffe du bist dir auch der "rechtlichen" Risiken bewusst: Hausdurchsuchung wegen Tor Exit-Server

[manes]

[x] ja, ich bin mir der risiken bewußt.
aber danke für den hinweis.

grüße
manes

[manes]

Update:
Der Ärger kommt nicht mit der Polente ins Haus, sondern mit dem ISP, der mir wegen massivem Spamversand über meine Adresse zum zweiten Mal den Anschluß gekappt hat. Das Freischalten ging nur über dessen (kostenlose) Hotline und war mit der verklausulierten Drohung verbunden, bei erneuten Vorkommnissen dieser Art den Anschluß zu kündigen.
Ich bat schriftlich um Überlassung der logs, in der Hoffnung, daraus erkennen zu können, ob meine Maschine kompromittiert war (wofür ich am Gerät keinen Hinweis gefunden hatte) und der Spam auf meinem Server erzeugt wurde oder ob er über den exit node lief.

Leider müssen wir Ihnen mitteilen das wir ihnen die Log Files der Sperrung nicht zur Verfügung stellen können.

Interpunktion und Rechtschreibung im Original.
Grundsätzlich finde ich es ja richtig, kompromittierte Maschinen aus dem Verkehr zu ziehen. Blöd, daß mein ISP keine Rücksicht auf exit nodes nimmt.
Zwischenzeitlich habe ich auf middle node umgestellt… Naja, ein Jahr lang exit node betrieben. Immerhin ein Eintrag im Lebenslauf .

Grüße
manes

[wanne]

Der Ärger kommt nicht mit der Polente ins Haus, sondern mit dem ISP, der mir wegen massivem Spamversand über meine Adresse zum zweiten Mal den Anschluß gekappt hat.

Du hast smtp gekappt und die haben sich trotzdem über spam Versand beschwert?

[wanne]

Hi,

willst Du wirklich einen Exit-Node zu Hause betreiben? Ich habe zur Zeit einen kleinen Relay auf einem V-Server laufen, würde aber gerne einen richtigen dedizierten Server mieten und ihn als Exit-Node einsetzen. Mir alleine ist das zu teuer und ich suche noch Leute die sich beteiligen...

Guck dir mal das an: 10TiB Traffic für 3.99: https://www.2host.com/support/cart.php? ... currency=5 . Wenn nciht mein Name drauf steht würde ich den sogar sponsorn.
Noch cooler das: Theoretisch über 200TiB im Monat wenn man das voll auslastet. Ich habe die aber angeschrieben, ob sie wirklich nicht drosseln und dies schreiben nicht zurück: http://roshoster.com/en/oplata/#interkassa

[peschmae]

es geht! ich finde es aber sehr merkwürdig, daß ich jeden reinkommenden verkehr auf port 80 an den kleinen server leite und die reinkommenden antworten auf meine browseranfragen trotzdem korrekt auf meinen arbeitsrechner geleitet werden. das ist dieses nat-dings mit den routingtabellen, wa?

Wie Daniel schon zu erklären versuchte, offenbar etwas zu abgekürzt um klar zu sein: Deine Browseranfragen kommen nicht von deinem Port 80 und gehen auch nicht an Port 80 bei dir zurück. Wenn du im Web surfst ist dein Port 80 nicht involviert.

Was passiert ist vielmehr, dass dein Rechner (im Auftrag deines Browsers) eine TCP Verbindung von einem Port > 1024 auf deinem Rechner zum Port 80 auf dem Zielserver öffnet. Wenn du in die TCP Headers guckst (https://secure.wikimedia.org/wikipedia/ ... l_Protocol) siehst du, dass es dort separate Felder für den Quell- und ZIelport gibt.
Antworten vom Zielwebserver werden dann von dessen Port 80 auf deinen Port > 1024 gesendet.

Wenn da jetzt noch ein Router mit NAT dazwischen ist, kann es natürlich sein, dass der die Ports noch weiter umbiegt (i.e. seine Anfrage an den Webserver kommt von einem nochmals anderen Port, Antworten an diesen Port schickt er dann wiederum an deinen lokalen Rechner an dessen Port > 1024...)

MfG Peschmä