1. Activați actualizările automate ale software-ului
Unul dintre cele mai importante lucruri pentru a vă menține releul în siguranță este să instalați actualizările de securitate în timp util și în mod ideal automat, astfel încât să nu puteți uita despre asta.
Urmați instrucțiunile pentru a activa actualizările automate ale software-ului pentru sistemul de operare.
2. Bootstrap pkg
Acest ghid presupune că avem deja o instalare de bază a rulării FreeBSD, și numai sistemul de bază.
Asta înseamnă că nu avem pachete instalate, sau chiar managerul de pachete pkg
în sine (nu există sudo
disponibil - rulăm comenzi ca root).
Pentru bootstrap și instalarea pkg
ar trebui să rulăm următoarea comandă:
# pkg bootstrap
# pkg update -f
2.1. Pașii recomandați pentru configurarea pkg
Pentru a urmări actualizările din upstream într-un mod "mai rapid", vă recomandăm să schimbați ramura trimestrială - 'quarterly' folosită de pkg
la ramura cea mai recentă -'latest'.
Un pas suplimentar este să preferăm să folosim HTTPS pentru a obține pachetele și actualizările noastre - așa că aici avem nevoie și de un pachet suplimentar care să ne ajute (ca_root_nss).
Instalarea pachetului ca_root_nss
:
# pkg install ca_root_nss
Păstrăm setarea originală folosită de pkg
, dar stabilim una nouă care o va suprascrie. Așa că am configurat un nou director, și apoi se creează un fișier de configurare pentru a suprascrie ceea ce avem nevoie. Acest fișier de configurare va fi /usr/local/etc/pkg/repos/FreeBSD.conf
.
Crearea noului director:
# mkdir -p /usr/local/etc/pkg/repos
Așa ar trebui să arate noul fișier de configurare /usr/local/etc/pkg/repos/FreeBSD.conf
:
FreeBSD: {
url: pkg+https://pkg.freebsd.org/${ABI}/latest
}
După aplicarea tuturor acestor modificări, actualizăm din nou lista de pachete și încercăm să verificăm dacă există deja o nouă actualizare de aplicat:
# pkg update -f
# pkg upgrade -y -f
3. Instalați Tor
Puteți alege să instalați versiunea stabilă (recomandată):
# pkg install tor
Sau instalați o versiune alpha:
# pkg install tor-devel
4. Instalați obfs4proxy
# pkg install obfs4proxy-tor
5. Editați fișierul dumneavoastră de configurare Tor, de obicei localizat la /usr/local/etc/tor
și înlocuiți conținutul acestuia cu:
RunAsDaemon 1
BridgeRelay 1
# Înlocuiți "TODO1" cu un port Tor, la alegere. Acest port trebuie să fie extern
# accesibil. Evitați portul 9001, deoarece este asociat în mod obișnuit cu Tor și
# este posibil ca cenzorii să scaneze Internetul pentru acest port.
ORPort TODO1
ServerTransportPlugin obfs4 exec /usr/local/bin/obfs4proxy
# Înlocuiți "TODO2" cu portul obfs4, la alegere. Acest port trebuie să fie
# accesibil din exterior și trebuie să fie diferit de cel specificat pentru ORPort.
# Evitați portul 9001 pentru că este asociat în mod obișnuit cu
# Tor și cenzorii pot scana Internetul pentru acest port.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2
# Portul de comunicare locală între Tor și obfs4. Configurați întotdeauna acest lucru pe „auto”.
# "Ext" înseamnă "extins", nu "extern". Nu încercați să setați
# un număr de port specific și nici să ascultați la 0.0.0.0.
ExtORPort auto
# Înlocuiți "<address@email.com>" cu adresa dvs. de e-mail, astfel încât să vă putem contacta dacă
# există probleme cu puntea dvs. Această înlocuire este opțională, dar încurajată.
ContactInfo <address@email.com>
# Alegeți o poreclă care vă place pentru puntea dvs. Aceasta este opțională.
Nickname PickANickname
Log notice file /var/log/tor/notices.log
Nu uitați să schimbați opțiunile ORPort
,ServerTransportListenAddr
, ContactInfo
șiNickname
.
Rețineți că atât portul OR Tor, cât și portul său obfs4 trebuie să fie accesibile. Dacă puntea dvs. se află în spatele unui firewall sau NAT, asigurați-vă că deschideți ambele porturi. Puteți utiliza testul nostru de accesibilitate pentru a vedea dacă portul dvs. obfs4 este accesibil de pe Internet.
Utilizați firewall-ul FreeBSD cu o politică de "negare implicită"? Dacă da, asigurați-vă că obfs4proxy-ul poate vorbi cu procesul Tor prin interfața loopback. Nu uitați să whitelist Tor's ExtORPort
.
6. Asigurați-vă că setarea sysctl random_id
este activată
# echo "net.inet.ip.random_id=1" >> /etc/sysctl.conf
# sysctl net.inet.ip.random_id=1
7. Porniți daemonul tor și asigurați-vă că pornește de la boot
# sysrc tor_setuid=YES
# sysrc tor_enable=YES
# service tor start
8. Monitorizați-vă jurnalele
Pentru a confirma că puntea dvs. funcționează fără probleme, ar trebui să vedeți ceva de genul acesta în /var/log/tor/notices.log
:
[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
9. Note Finale
Dacă întâmpinați dificultăți la configurarea podului, aruncați o privire la secțiunea noastră de ajutor.
Dacă puntea dumneavoastră rulează acum, verificați notele post-instalare.