Mettre en place un relais Tor
La mise en place d’un relais Tor est très pratique si vous souhaitez aider les utilisateurs vivant dans un pays ou la censure d’Internet est très présente. Bien sûr pour cela, il faut que vous-même vous viviez dans une région/Pays ou la censure ne règne pas ou très peu.
En mettent en place un relais Tor, vous contribuez à l’extension du réseau Tor en y ajoutant plus de bande passante et offrir une navigation sur l’internet non censuré a beaucoup de personnes.
En revanche, la mise en place d’un relais Tor fonctionne de la même manière (voir presque) qu’un proxy et vous pouvez plus ou moins être exposé aux différentes plaintes voire blocages de votre FAI. Il existe pourtant deux types de relais :
- Le relais à nœud sortant : il s’agit du type de nœud le plus utile mais surtout le type de nœud le plus dangereux. C’est vous-même qui sortez l’intégralité du trafic des utilisateurs connectés à votre relais. Ce type de relais devenant plus rare et plus recherché, vous expose plus facilement aux différents conflits avec votre FAI comme dit précédemment.
- Le relais à nœud intermédiaire (plus communément appelé passerelle) : il s’agit du type de nœud le plus courant et le moins risqué car il créé un tunnel crypté vers d’autres relais à nœud sortant. Grâce à ce type de relais, vous n’êtes plus exposé aux plaintes de votre FAI.
Les prérequis pour la mise en place d’un relais Tor
Quel que soit le type de relais que vous souhaitez mettre en place, il sera très utile sur le réseau si toutefois vous respectez quelques règles :
- Votre relais doit être disponible 24h/24 et 7j/7
- Un uptime à minima de 8 jours, ce qui permettra de classer votre relais en tant que middle relay
- Une bande passante d’au minimum 20Ko/s
Si vous souhaitez héberger votre relais chez vous, je vous recommande l’utilisation d’une Raspberry Pi ou toute carte alternative car elles ne consomment rien en KWh si nous faisons le calcul pour une année. En revanche, si vous avez un serveur chez vous qui tourne 24h/24, vous pouvez installer le relais Tor directement mais je vous recommande tout de même de le mettre votre relais Tor sur une machine virtuelle.
Si en revanche vous louez un serveur chez un hébergeur, vous pourrez héberger le relais Tor sans vous soucier de la bande passante que vous pourrez allouer. En revanche, comme pour un hébergement à la maison, je vous recommande toutefois de mettre en place une VM afin d’isoler le relais Tor du système hôte.
Upgrader mon relais Tor
Votre relais Tor peut monter de grade pour devenir guard Relay. Pour cela, quelques règles supplémentaires sont à prendre en compte :
- L’uptime du serveur doit être à minima de 68 jours (permettant de basculer au grade de guard relay)
- La bande passante du relais doit être plus conséquente afin d’héberger plus de clients sans que les ralentissements commencent à avoir un impact sur l’utilisation de votre relais.
Installation générale de Tor
Je suppose que vous avez enfin décidé de la manière de comment vous allez héberger votre nouveau relais Tor. Pour ma part, je vais utiliser une machine sous Debian 8 et j’allouerai un total de 10Mbps (soit 1,2Mo/s) de bande passante à mon relais.
Premièrement, on installe les paquets Tor et ntp depuis le gestionnaire de paquet :
apt-get install tor ntp
Note : Le paquet ntp permettra à votre serveur d’être toujours à l’heure. Si votre serveur n’est pas à l’heure, votre relais Tor ne pourra pas fonctionner.
(Pour les personnes hébergeant chez eux, ou ce situant sur un réseau avec serveur DHCP) Modifiez les paramètres de votre carte réseau afin d’y avoir une adresse IP statique en éditant le fichier /etc/network/interfaces
Configuration d’un relais à nœud sortant
Éditez le fichier /etc/tor/torrc
en y mettant cette configuration et en l’adaptant en fonction de vous même :
# Paramètres du relais Tor
RunAsDaemon 1 # Démarre Tor en tant que tâche de fond
DirPort 9030 # Port pour le référencement du relais
ORPort 9001 # Port du relais
SocksPort 0 # Ajoutez cette ligne si vous n’utiliserez pas Tor sur votre réseau local
Nickname RelayName # Nom du relais
ContactInfo contact@domain.tld # Une adresse e-mail de contact
RelayBandwidthRate 1250 KBytes # Limite de la bande passante pour le relais
RelayBandwidthBurst 1450 KBytes # Burst de bande passante pour le relais (au cas où la bande passante maximum est atteinte)
Puis redémarrez le service Tor :
service tor restart
Configuration d’un relais à nœud intermédiaire
Idem que pour la configuration du relais à nœud sortant mais en ajoutant quelques paramètres supplémentaires.
On édite le fichier /etc/tor/torrc
en y mettant la configuration suivante :
# Paramètres du relais Tor
RunAsDaemon 1 # Démarre Tor en tant que tâche de fond
DirPort 9030 # Port pour le référencement du relais
ORPort 9001 # Port du relais SocksPort 0 # Ajoutez cette ligne si vous n’utiliserez pas Tor sur votre réseau local
Nickname RelayName # Nom du relais
ContactInfo contact@domain.tld # Une adresse e-mail de contact
Exitpolicy reject *:* # Rejette le trafic sortant afin de devenir un nœud intermédiaire
RelayBandwidthRate 1250 KBytes # Limite de la bande passante pour le relais
RelayBandwidthBurst 1450 KBytes # Burst de bande passante pour le relais (au cas où la bande passante maximum est atteinte)
Puis on redémarre le service
service tor restart
Ouverture des ports
Si vous utilisez un routeur/modem ou la box de votre FAI, vous devrez ouvrir les ports 9001 et 9030 (TCP) si l’UPnP n’a pas fait son travail. En revanche si vous êtes sous Linux, une petite règle iptables vous sera sans doute nécessaire :
iptables -A INPUT -i eth0 -p tcp --dport 9001 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 9030 -m state --state ESTABLISHED -j ACCEPT service iptables restart && service tor restart
Vérifier si le relais fonctionne correctement
Pour vérifier que votre relais fonctionne correctement, vous pouvez dans un premier temps regarder les logs du relais en regardant le fichier /var/log/tor/log
Si le serveur vous affiche :
Apr 04 12:08:53.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
Apr 04 12:08:53.000 [notice] Self-testing indicates your DirPort is reachable from the outside. Excellent.
C’est que votre relais tor fonctionne !
Si en revanche, ORPort ou DirPort sont indisponibles (unreachable), il se peut que vous ayez soit mal ouvert les ports sur votre Box ou sur Iptables soit parce que votre FAI bloque tout simplement le port 9001 et le port 9030. Pour y remédié, je vous invite à utiliser d’autres ports (par exemple 6032 et 6040)
Vous pouvez aussi vérifier sur Atlas en y mettant l’adresse IP de votre relais dans la barre de recherche pour récupérer l’état de votre relais ainsi que toutes les informations et des statistiques sur la bande passante utilisé.
Et voilà, vous êtes l’heureux propriétaire d’un relais/passerelle Tor ! Il ne vous reste plus qu’à patienté quelques jours pour voir que votre relais Tor est utilisé par d’autres utilisateurs !
Sources d’inspiration : Documentation Tor