Quantcast
Channel: bogamp’s blog
Viewing all articles
Browse latest Browse all 39

nftablesでTor以外の通信をブロックする

August 25, 2024, 7:37 am
$
0
0

nftablesを用いて、OS全体でTorを使用しない通信を遮断するようにしてみた。

コマンド

sudo nft flush ruleset
sudo nft add table inet filter
sudo nft add chain inet filter output {type filter hook output priority filter \; policy drop \;}
sudo nft add rule inet filter output oifname lo accept
sudo nft add rule inet filter output skuid debian-tor accept
sudo nft add rule inet filter output drop

sudo nft add chain inet filter input {type filter hook input priority filter \; policy drop \;}
sudo nft add rule inet filter input ct state established,related accept
sudo nft add rule inet filter input ct state invalid drop
sudo nft add rule inet filter input iif lo accept

sudo nft add chain inet filter forward {type filter hook forward priority filter \; policy drop \;}

設定ファイル

上のコマンドではわかりにくいので、設定ファイルも書いてみた(中身は同じ)。
sudo nft -fで設定ファイルを読み込める。
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
	chain input {type filter hook input priority filter;policy drop;
		ct state established,related accept
		ct state invalid drop
		iifname lo accept
	}
	chain forward {type filter hook forward priority filter;policy drop;}
	chain output {type filter hook output priority filter;policy drop;
                oifname lo accept
		skuid debian-tor accept
		drop
	}}

ルールの説明

inputとforwardのルールは、本題には無関係なのでここでは説明しない。outputのルールについてだけ説明しておく。
oifname lo acceptでローカル内での通信を許可している。
DebianUbuntu系のOSでは、sudo systemctl start torでtorを起動した場合、debian-torというユーザー名でtorが実行されるようになっている。skuidはパケットを送ったユーザー名でフィルタリングするワードであり、これでdebian-torを指定することでtorによる通信を許可している。(よって、DebianUbuntu系以外のLinuxでは機能しない)
それ以外はdropで通信を弾いている。

その他

上のルールではDNSもブロックされるため、たとえばcurl --proxy socks5://localhost:9050 http://example.comのようなコマンドだと名前解決に失敗する。torsocksコマンドを使ってtorsocks curl http://example.comとすれば、DNSもtorを経由するため成功する。

また、上のルールで通信できるtorはあくまでシステム側のtorである。Tor Browserは通常、システム側のtorを用いずに自分で別のtorを起動するため、上のルールでは通信することができない。~/.local/share/torbrowser/tbb/x86_64/tor-browser/Browser/start-tor-browserの中には"Using a system-installed Tor process with Tor Browser"という箇所があり、そこを読んでいくとTor Browserにシステム側のTorを使用させることができる。

ちなみに透過プロキシ(全通信を自動でTor経由にする)も設定することができるが、torprojectの公式サイト(https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TransparentProxyhttps://gitlab.torproject.org/legacy/trac/-/wikis/doc/TransparentProxyLeaks)によると、透過プロキシがセキュリティ的に優れているかというと微妙なところらしい。

参考リンク

nftables wiki
nftables - ArchWiki
Search
Viewing all articles
Browse latest Browse all 39

Trending Articles

モーツァルト ディヴェルティメント 変ホ長調 K.563 の名盤

December 23, 2017, 2:32 am

井上貴博アナウンサー彼女や結婚の噂は?実家や親が話題?人気は?

September 15, 2013, 1:59 am

Ke Aloha Kalikimakaの歌詞を和訳します

January 9, 2014, 6:10 pm

PaliのLepe `Ula`ulaと歌詞の和訳

July 19, 2012, 7:10 pm

2014年6月6日号 三菱東京UFJ銀行(5月14日付)

June 9, 2014, 1:51 am

LNK2019:未解決の外部シンボル と LNK1120:外部参照 1 が未解決について

October 23, 2005, 9:03 pm

ヴァンパイア・ノーツ 攻略

December 11, 2018, 6:10 am

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生:ネットで拡散された理由とは

July 15, 2016, 12:05 pm

メールディーラーで受信するアドレスを追加できますか?

July 30, 2019, 1:56 am

Robocopy のエラー (戻り値) について

January 23, 2018, 11:28 pm

林要の結婚や経歴&評判とWikiプロフやLOVOT(ラボット)とグルーブエックス株価は

December 23, 2018, 6:18 am

【極☆寒】「凍った髪」を競い合う『国際ヘア・フリージング・コンテスト』! 寒〜い写真に身震いしつつ過ぎ行く冬にサヨナラだ!!

March 10, 2015, 2:00 pm

滋賀の部落(同和地区)一覧

March 24, 2010, 6:39 am

【銃刀法違反】吉田総業組長代行 恩田達志容疑者を再逮捕

November 17, 2016, 6:39 pm

和歌山県代表決まる 都道府県対抗中学バレー

September 10, 2013, 2:00 am

大浦街道で重体事故

August 31, 2016, 1:35 am

【世界大学ランキング】 第1位にジュリアード音楽院とウィーン国立音大、日本勢は?

August 23, 2019, 1:32 am

【対策済】「SKYSEA Client View」のアップデートに失敗する問題についてのお知らせ

December 27, 2007, 7:00 am

Lahaina Lunaの歌詞を和訳しました

January 14, 2016, 6:10 pm

画像・写真】ららぽーと横浜で16歳男子高校生が転落死 不審な動き→逃走し警備員に追いかけられ→柵越え飛び降り・12m転落 窃盗・万引き?それとも盗撮?

September 17, 2016, 8:50 am
Search