We assume you read through the relay guide and technical considerations already. This subpage is for operators that want to turn on exiting on their relay.
გირჩევთ, გამსვლელი გადამცემი გაუშვათ, საგანგებოდ ამ საქმისთვის განკუთვნილ ცალკე სერვერებზე. ჯობია არ დააყენოთ Tor-ის გამსვლელი გადამცემები იმ სერვერებზე, რომლებსაც სხვა მომსახურებებისთვის იყენებთ. ნუ აურევთ თქვენს კავშირებს გამსვლელი გადამცემის კავშირებში.
უკუ-DNS და WHOIS-ჩანაწერი
სანამ თქვენს არაგამავალ გადამცემს გადააკეთებთ გამავალ გადამცემად, დარწმუნდით რომ უკუ-DNS ჩანაწერი (PTR) გამართული გაქვთ, რომელიც უფრო ნათლად აჩვენებს, რომ ეს Tor-ის გამსვლელი წერტილია. ზოგჯერ სახელში „tor-exit“ მითითება გამოსადეგია ხოლმე.
If your provider offers it, make sure your WHOIS record contains clear indications that this is a Tor exit relay.
გამოიყენეთ დომენის სახლი რომელსაც ფლობთ. არავითარ შემთხვევაში არ უნდა გამოიყენოთ torproject.org თქვენს დომენად, უკუ-DNS-ისთვის.
გამსვლელი წერტილის განაცხადის HTML-გვერდი
კიდევ უფრო აშკარა მითითებისთვის, Tor-ის გამავალ კვანძს რომ ეხება საქმე, კარგი იქნება თუ უზრუნველყოფთ Tor-ის გამსვლელი წერტილის განაცხადს HTML-გვერდის სახით.
Tor can do that for you: if your DirPort is on TCP port 80, you can make use of tor's DirPortFrontPage feature to display an HTML file on that port.
ამ ფაილს იხილავს ნებისმიერი, ვინც თავის ბრაუზერში პირდაპირ აკრეფს თქვენი Tor-გამავალი გადამცემის IP-მისამართს.
If you didn't set this up before, the following configuration lines must be applied to your torrc:
DirPort 80
DirPortFrontPage /path/to/html/file
We offer a sample Tor exit notice HTML file, but you might want to adjust it to your needs.
We also have a great blog post with some more tips for running an exit relay.
Note: DirPort is deprecated since Tor 0.4.6.5, and self-tests are no longe being showed on tor's logs.
For more information read its release notes and ticket #40282.
Exit policy
გამსვლელი დებულების განსაზღვრა, ერთ-ერთი უმნიშვნელოვანესი ნაწილია გამავალი გადამცემის გასამართად. გამსვლელი დებულება ადგენს, თუ რომელი პორტების გადამისამართება გსურთ. ეს იმოქმედებს მიღებული საჩივრების წერილების რაოდენობაზე (ნაკლები პორტი ნიშნავს, ნაკლებ საჩივარს, თუმცა გამსვლელი წერტილი ნაკლები პორტით, იმავდროულად ნაკლებად სარგებლიანი იქნება). თუ გსურთ გამოსადეგი გამსვლელი გადამცემი გქონდეთ, საჭიროა დაუშვათ, სულ მცირე 80 და 443 პორტი მაინც.
ახალი გამსვლელი გადამცემის შემთხვევაში – განსაკუთრებით, თუ ახალი მომხმარებელი ხართ – კარგი აზრია მეტად შეზღუდული გამსვლელი დებულებით დაიწყოთ (საჩივრების შემცირებისთვის) და მომავალში უფრო გახსნათ, როცა მეტ გამოცდილებას შეიძენთ. The reduced exit policy can be found on the Reduced Exit Policy wiki page.
To become an exit relay change ExitRelay from 0 to 1 in your torrc configuration file and restart the tor daemon.
ExitRelay 1
DNS გამავალ გადამცემებზე
განსხვავებით სხვა სახის გადამცემებისა, გამსვლელი გადამცემი DNS-გადამისამართებებსაც უზრუნველყოფს Tor-კლიენტებისთვის. DNS-გადამისამართება გადამწყვეტი მნიშვნელობისაა Tor-კლიენტებისთვის, ამიტომ უნდა იყოს მეტად საიმედო და სწრაფი, კეშირების დახმარებით.
- DNS-გადამისამართებას დიდი გავლენა აქვს წარმადობასა და საიმედოობაზე, რომელსაც თქვენი გადამცემი უზრუნველყოფს.
- არ გამოიყენოთ დიდი DNS-დამმისამართებლები (Google, OpenDNS, Quad9, Cloudflare, 4.2.2.1-6) თქვენს ძირითად ან ნაგულისხმევ DNS-დამმისამართებლად, ინფორმაციის თავმოყრის ასარიდებლად.
- გირჩევთ გაუშვად ადგილობრივად კეშირება და DNSSEC-დამოწმების გარდამქმნელი, სხვა გადამმისამართებლების გარეშე (ცალკეული მითითებები ქვემოთ იქნება, სხვადასხვა საოპერაციო სისტემისთვის).
- If you want to add a second DNS resolver as a fallback to your
/etc/resolv.confconfiguration, choose a resolver within your autonomous system and make sure that it is not your first entry in that file (the first entry should be your local resolver). - თუ თქვენი ადგილობრივი დამმუშავებელი, როგორიცაა თუნდაც Unbound არ გამოგადგებათ, მაშინ გამოიყენეთ ის დამმუშავებელი, რომელსაც თქვენი მომსახურების მომწოდებელი იყენებს, იმავე დამოუკიდებლად მომუშავე სისტემაში (რომ გაარკვიოთ, IP-მისამართი იმავე AS-ს ეკუთვნის თუ არა, რომელსაც თქვენი გადამცემი, გამოიყენეთ bgp.he.net).
- If you want to add a second DNS resolver as a fallback to your
- Avoid adding more than two resolvers to your
/etc/resolv.conffile to limit AS-level exposure of DNS queries. - Ensure your local resolver does not use any outbound source IP address that is used by any Tor exit or non-exits, because it is not uncommon that Tor IPs are (temporarily) blocked and a blocked DNS resolver source IP address can have a broad impact.
For unbound you can use the
outgoing-interfaceoption to specify the source IP addresses for contacting other DNS servers. - Large exit operators (>=100 Mbit/s) should make an effort to monitor and optimize Tor's DNS resolution timeout rate.
This can be achieved via Tor's Prometheus exporter (
MetricsPort). The following metric can be used to monitor the timeout rate as seen by Tor:
tor_relay_exit_dns_error_total{reason="timeout"} 0
ბევრი არჩევანია DNS-სერვერის პროგრამების. Unbound ფართოდაა გავრცელებული, თუმცა შეგიძლიათ ნებისმიერი სხვა გამოიყენოთ, რომელიც მოსახერხებელია თქვენთვის. DNS-დამმუშავებლის პროგრამის არჩევისას, დარწმუნდით რომ მხარდაჭერილია DNSSEC-დამოწმება და QNAME-მინიმიზაცია (RFC7816). დააყენეთ დამმუშავებელი პროგრამა თქვენი საოპერაციო სისტემის კრებულების სამართავიდან, რომ ავტომატურად ახლდებოდეს.
საკუთარი DNS-დამმუშავებლის გამოყენებით, გადამცემი მეტად დაცული იქნება DNS-ზე დაფუძნებული ცენზურისგან, ზემდგომი გადამმისამართებლისგან განსხვავებით.
Below are instructions on how to install and configure Unbound - a DNSSEC-validating and caching resolver - on your exit relay. Unbound has many configuration and tuning knobs, but we keep these instructions simple and short; the basic setup will do just fine for most operators.
After switching to Unbound, verify that it works as expected by resolving a valid hostname. If it does not work, you can restore your old /etc/resolv.conf file.
Debian/Ubuntu
The following commands install unbound, backup your DNS configuration, and tell the system to use the local resolver:
# apt install unbound
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
გამართული პარამეტრების არასასურველი ცვლილების ასარიდებლად (მაგალითად, DHCP-კლიენტის მიერ):
# chattr +i /etc/resolv.conf
Debian-ის გამართვის პარამეტრები აღჭურვილია მოქმედი QNAME-მინიმიზაციით (RFC7816) ნაგულისხმევად, ასე რომ აღარ დაგჭირდებათ საგანგებოდ ჩართვა. The Unbound resolver you just installed also does DNSSEC validation.
If you are running systemd-resolved with its stub listener, you may need to do a bit more than just that. Please refer to the resolved.conf manpage.
CentOS/RHEL
Install the unbound package:
# yum install unbound
If you are using a recent version of CentOS/RHEL, please use dnf instead of yum.
In /etc/unbound/unbound.conf replace the line:
qname-minimisation: no
with
qname-minimisation: yes
Enable and start unbound:
# systemctl enable --now unbound
Tell the system to use the local resolver:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
გამართული პარამეტრების არასასურველი ცვლილების ასარიდებლად (მაგალითად, DHCP-კლიენტის მიერ):
# chattr +i /etc/resolv.conf
If you are running systemd-resolved with its stub listener, you may need to do a bit more than just that. Please refer to the resolved.conf manpage.
FreeBSD
FreeBSD აღჭურვილია Unbound-ით ძირითად სისტემაში, თუმცა ერთ-ერთი პორტი, უფრო მეტად საპირისპიროდ მოქმედებს, ამიტომ საჭიროა Unbound-კრებულის დაყენება:
# pkg install unbound
Replace the content in /usr/local/etc/unbound/unbound.conf with the following lines:
server:
verbosity: 1
qname-minimisation: yes
Enable and start the unbound service:
# sysrc unbound_enable=YES
# service unbound start
Tell the system to use the local resolver:
# cp /etc/resolv.conf /etc/resolv.conf.backup
# echo nameserver 127.0.0.1 > /etc/resolv.conf
გამართული პარამეტრების არასასურველი ცვლილების ასარიდებლად (მაგალითად, DHCP-კლიენტის მიერ):
# chflags schg /etc/resolv.conf