配置一台 Tor 中继
Tor 网络依靠志愿者们贡献带宽运行。运行中继的人越多,Tor 网络的速度就越快。 如果你的网络连接速度达到至少每秒 20KB,请运行一台中继以帮助 Tor。 我们有许多特性使得 Tor 中继的运行简单而方便,包括带宽的速率限制, 定制出口策略以避免滥用,以及对于动态 IP 地址的支持。
在互联网上的许多不同地方运行中继保护了 Tor 用户的安全。你 自身的匿名也能得到更好的保护,因为站点不知道连接究竟来自你的电脑还是为他人传递。
设置一台 Tor 中继既简单又方便
- Tor 内建即支持速率限制。 更进一步地,如果你不限制带宽但是想限制每天(或每星期、或每月)贡献的字节数,请查看休眠特性。
- 每台 Tor 中继都有一套出口策略, 规定了这台中继都允许或禁止哪些类型的外部连接。如果你对于让其他人从你的中继 退出感到不安,你可以将它设置成仅允许连接到其他 Tor 中继。
- 如果中继时常下线也没有什么关系。目录服务器会很快发现并停止公布它。 但是请不要过于频繁地下线,因为当中继下线时,会破坏正在使用这台中继的连接。
- 我们能正确处理具有动态 IP 的中继——把“Address”配置选项留空即可,Tor 会尝试猜测。
- 如果你的中继位于 NAT 后面而且不知道它的公网 IP(例如它的 IP 类似 192.168.x.y), 你需要设置端口转发。转发 TCP 连接的方法因系统而异,但是此 FAQ 条目提供了如何实现这一目的的一些示例。
- 你的中继将定期估计并公布它最近的带宽,高带宽的中继将因此吸引更多的用户。 但是低带宽的中继同样是有用的。
你能在几乎所有的操作系统上运行 Tor 中继,但是请查看此 FAQ 条目以了解哪些操作系统更合适以及你可能会碰到的其他问题。
第零步:下载并安装 Tor
开始前,你需要确认 Tor 已经正常运行。
对于 Windows 用户,这意味着至少完成 Windows 的 Tor 安装指导的第一步。Mac OS X 用户需要至少完成 OS X 的 Tor 安装指导的第一步。 Linux/BSB/Unix 用户需要至少完成 Unix 的 Tor 安装指导的第一步。
如果可以的话,你也许还应该将它作为客户端使用一段时间以确认 Tor 确实工作正常。
第一步:将它设置成中继
1、检查你的时间是否正确。可能的话,与公共的时间服务器同步时间。
2、确认名字解析工作正常(意思是,你的机器能够正确解析 Internet 地址)。
3、修改 torrc 的最后部分。(如需帮助,请查看此 FAQ 条目。) 请确认至少定义了 Nickname 和 ORPort 选项。需要的话创建 DataDirectory 并确认 这个目录的所有者是将要运行 Tor 的用户。如果你打算运行多台中继——这太棒了—— 但是请为所有中继的配置文件加入 MyFamily 选项。
4、如果你使用防火墙,请在防火墙上开出一个洞口以使得进入的连接能够到达配置的端口 (ORPort,如果设置的话,还有 DirPort)。请确认你允许所有的外出连接,这样你的 中继才能与其他 Tor 中继通信。
5、重启中继。如果日志中有任何警告信息, 想办法解决它们。
6、订阅 or-announce 邮件列表。 该邮件列表流量非常小,它会在新的稳定版本发布时提醒你。你也可以考虑订阅 or-talk(高流量),新的开发版本 会在那儿公布。
7、检阅手册。最新稳定版本的手册提供了一个 客户端和中继所有可能配置选项的列表。如果你运行的是 Tor 的开发版本, 它的手册在这里。
第二步:确认它在工作
一旦你的中继连接上了网络,它就会尝试检测能否从外部访问你所配置的端口。 这一过程最长可持续 20 分钟。请查看是否有“Self-testing indicates your ORPort is reachable from the outside. Excellent.”这样的日志条目。 如果你没有看到这条消息,说明从外部不能访问你的中继——你应该重新检查防火墙设置, 检查测试的 IP 和端口是否正确,等等。
当确认能从外部访问中继时,它会向目录服务器上传一个“服务器描述符(server descriptor)”。客户端因此知道你的中继的地址、端口、公钥等。为了确认中继 正常工作,你可以手动 下载一份网络状态,从中查找你所配置的中继的名字。在获得最新的目录前, 你需要等待几秒钟的时间。
第三步:一旦它开始正常工作
我们也推荐以下的步骤:
8、阅读该文档, 了解如何增强中继的安全性。
9、考虑你想要怎样的出口策略。默认情况下,中继允许访问多种流行的服务,但限制 一些可能招致滥用的服务(如端口 25)。你可能想要更宽松的限制,也可能想要更严格 的限制,请根据需要修改 torrc。 请阅读使用默认的出口策略可能会遇到的问题的 FAQ 条目。如果你选择了特别开放的出口策略,你还要确认你的 ISP 是否会同意你的选择。 如果你的中继有无法访问的资源(例如在一个受限的防火墙或内容过滤系统后面),请在 出口策略中明确地拒绝它们——否则其他 Tor 用户会受到同样的影响。
10、考虑速率限制。线缆调制解调器、DSL 和其他拥有非对称带宽(如下行速率大于上行速率) 的用户应将速率限制为较低的那个带宽,以避免拥塞。请查看有关 速率限制的 FAQ 条目。
11、备份 Tor 中继的私钥(在 DataDirectory 目录里的“keys/secret_id_key”文件中)。 这是你的中继的“身份证”,你需要保证它的安全,这样就没有人能读取通过你的中继的流量了。 如果出于什么原因,你需要转移或还原 Tor 中继,这是你需要保存的关键文件。
12、如果你掌控你的域名的名字服务器,请考虑将反向的 DND 主机名设置成“anonymous-relay”、 “proxy”或“tor-proxy”,这样当他人在他们的 Web 日志中看到你的服务器的地址时, 他们将更快地知道发生了什么。如果你在运行出口节点,请将 Tor 出口注意放到与主机同名的虚拟主机上,这么做会使你和你的 ISP 收到的滥用指控少很多。
13、如果你的计算机不在运行 Web 服务器,请考虑将 ORPort 改成 443,将 DirPort 改成 80。许多 Tor 用户由于防火墙的阻挡只能浏览 Web,这种修改使他们能够连接到你的 Tor 中继。Win32 中继直接在 torrc 里修改 ORPort 和 DirPort,然后重启即可。OS X 和 Unix 中继无法直接绑定这些端口(因为运行中继的用户不是 root),它们需要设置端口 转发以使得连接能够到达 Tor 中继。如果 80 端口和 443 端口已被占用,其他常用 的端口是 22、110 和 143。
14、如果你的 Tor 中继在同一 IP 地址运行其它服务——例如公开的 Web 服务器——请确认 Web 服务器允许来自本地主机的连接。这是因为(当用户访问你的网站时)Tor 客户端会 发现你的 Tor 中继是访问 你的 Web 服务器的最安全的方式,总是会建立一条终止于你的中继的电路。 如果你不想允许这种连接,你必须在出口策略中明确地拒绝它们。
15、(仅针对 Unix)。创建一个独立的用户运行中继。如果你安装的是 OS X 软件包、deb 软件包或者 rpm 软件包,这一步已经完成。在其他情况下,你可以自己动手完成这一步。 (Tor 中继不需要以 root 运行,因此不以 root 运行是一个好的实践。以一个“tor”用户运行 避免了 identd 和其他检查用户名的服务会带来的问题。如果你非常谨小慎微,你自然可以将 Tor 置于 chroot jail 中。)
16、(仅针对 Unix)。你的操作系统可能将每一进程能够打开的文件标识符的数目限制在 1024(甚至更少)。如果你计划运行一台快速的出口节点,这一数目也许不够。Linux 中, 你应该在 /etc/security/limits.conf 文件中添加一行,如“toruser hard nofile 8192” (toruser 是运行 Tor 进程的用户),然后重新启动 Tor(如果 Tor 以软件包的方式 安装)或者登出再登陆(如果运行 Tor 的用户就是你)。如果以上步骤无效,请查看此 FAQ 条目,该 FAQ 有在启动 Tor 之前先运行“ulimit -n 8192”的其他建议方式。
17、如果你是通过软件包或安装文件安装的 Tor,它可能会在系统启动时自动启动 Tor。 如果你是自源文件安装的 Tor,contrib/tor.sh 或者 contrib/torctl 中的初始脚本 也许对你有用。
当你修改了 Tor 的配置,请记得检查中继在配置修改以后依旧正常工作。 请确认你在 torrc 中设置了“ContactInfo”,这样当需要升级或者发生了什么问题时我们能与你取得联系。 如果你有疑问或者问题,请查看文档的获得支持部分 或者从 tor-ops 信箱联系我们。 感谢你为 Tor 网络成长做出的贡献!
如果你有改进本文档的建议,请告诉我们。 谢谢!