配置一台 Tor 中继
Tor 网络依靠志愿者们贡献带宽运行。运行中继的人越多,Tor 网络的速度就越快。 如果你的网络连接速度达到至少每秒 20KB,请运行一台中继以帮助 Tor。 我们有许多特性使得 Tor 中继的运行简单而方便,包括带宽的速率限制, 定制出口策略以避免滥用,以及对于动态 IP 地址的支持。
你能在几乎 所有的操作系统上运行 Tor 中继,但是 Linux、FreeBSD 5.x+、OS X Tiger 或之后、 和 Windows Server 2003 或之后效果最佳。
第一步:下载并安装 Tor
开始前,你需要确认 Tor 已经正常运行。
访问下载页面, 安装符合你所使用操作系统的“安装套件”。
如果可以的话,你也许还应该将它作为客户端使用一段时间以确认 Tor 确实工作正常。
第二步:将它设置成中继
- 检查时间和时区是否正确。可能的话,与公共的时间服务器同步时间。
- Windows / OS X 配置:
- 鼠标右键点击任务栏中的 Vidalia 图标,选择控制面板。
- 点击设置中继。
- 如果你想要成为公共中继(推荐),选择 Tor 网络中继。如果你想要成为网桥以帮助无法使用 Tor 的国家的用户, 选择帮助用户访问 Tor 网络。
- 为中继输入一个昵称,为了在出现问题时我们能及时和你联系,还请输入联系方式。
- 选择 Attempt to automatically configure port forwarding。 点击 Test 按钮检查是否能正常工作。如能正常工作继续往下配置; 否则请查看下面第 3 点。
- 转到带宽限制标签。选择一个你愿意为 Tor 用户提供的带宽。
- 转到服务策略标签。如果你同意 Tor 用户通过中继使用这些服务,什么都不用修改。 取消选择那些你不想其他用户通过你的中继访问的服务。 如果你只想成为非出口的中继,取消选择所有服务。
- 点击确定按钮。请看下面的第三步以确认中继工作正常。
Linux / Unix 配置: - 如果你使用防火墙,请在防火墙上开出一个洞口以使得进入的连接能够到达配置的端口 (ORPort,如果设置的话,还有 DirPort)。如果你有硬件防火墙(Linksys 盒子、 电缆调制解调器等),你需要参考 portforward.com。 另外,请确认你允许所有的外出连接,这样你的中继才能与其他 Tor 中继通信。
- 重启中继。如果日志中有任何警告信息, 想办法解决它们。
- 订阅 or-announce 邮件列表。 该邮件列表流量非常小,它会在新的稳定版本发布时提醒你。你也可以考虑订阅更高流量的 Tor 邮件列表。
第三步:确认它在工作
一旦你的中继连接上了网络,它就会尝试检测能否从外部访问你所配置的端口。 这一过程通常很快,但最长有可能持续 20 分钟。请查看是否有“Self-testing indicates your ORPort is reachable from the outside. Excellent.”这样的日志条目。 如果你没有看到这条消息,说明从外部不能访问你的中继——你应该重新检查防火墙设置, 检查测试的 IP 和端口是否正确,等等。
当确认能从外部访问中继时,它会向目录服务器上传一个“服务器描述符(server descriptor)”。客户端因此知道你的中继的地址、端口、公钥等。为了确认中继 正常工作,你可以手动 下载一份网络状态,从中查找你所配置的中继的名字。在获得最新的目录前, 你需要等待几秒钟的时间。
第四步:一旦它开始正常工作
我们也推荐以下的步骤:
6、阅读有关安全操作的信息, 了解如何增强中继的安全性。
7、如果你运行一台以上的中继,这太好了!但是请在所有的中继配置文件中设置 MyFamily 选项。
8、考虑速率限制。线缆调制解调器、DSL 和其他拥有非对称带宽(如下行速率大于上行速率) 的用户应将速率限制为较低的那个带宽,以避免拥塞。请查看有关 速率限制的 FAQ 条目。
9、备份 Tor 中继的私钥(在 DataDirectory 目录里的“keys/secret_id_key”文件中)。 这是你的中继的“身份证”,你需要保证它的安全,这样就没有人能读取通过你的中继的流量了。 如果出于什么原因,你需要转移或还原 Tor 中继,这是你需要保存的关键文件。
10、如果你掌控你的域名的名字服务器,请考虑将反向的 DND 主机名设置成“anonymous-relay”、 “proxy”或“tor-proxy”,这样当他人在他们的 Web 日志中看到你的服务器的地址时, 他们将更快地知道发生了什么。如果你在运行出口节点,请将 Tor 出口注意放到与主机同名的虚拟主机上,这么做会使你和你的 ISP 收到的滥用指控少很多。
11、如果你的计算机不在运行 Web 服务器,请考虑将 ORPort 改成 443,将 DirPort 改成 80。许多 Tor 用户由于防火墙的阻挡只能浏览 Web,这种修改使他们能够连接到你的 Tor 中继。Win32 中继直接在 torrc 里修改 ORPort 和 DirPort,然后重启即可。OS X 和 Unix 中继无法直接绑定这些端口(因为运行中继的用户不是 root),它们需要设置端口 转发以使得连接能够到达 Tor 中继。如果 80 端口和 443 端口已被占用,其他常用 的端口是 22、110 和 143。
12、如果你的 Tor 中继在同一 IP 地址运行其它服务——例如公开的 Web 服务器——请确认 Web 服务器允许来自本地主机的连接。这是因为(当用户访问你的网站时)Tor 客户端会 发现你的 Tor 中继是访问 你的 Web 服务器的最安全的方式,总是会建立一条终止于你的中继的电路。 如果你不想允许这种连接,你必须在出口策略中明确地拒绝它们。
13、(仅针对 Unix)。创建一个独立的用户运行中继。如果你安装的是 OS X 软件包、deb 软件包或者 rpm 软件包,这一步已经完成。在其他情况下,你可以自己动手完成这一步。 (Tor 中继不需要以 root 运行,因此不以 root 运行是一个好的实践。以一个“tor”用户运行 避免了 identd 和其他检查用户名的服务会带来的问题。如果你非常谨小慎微,你自然可以将 Tor 置于 chroot jail 中。)
14、(仅针对 Unix)。你的操作系统可能将每一进程能够打开的文件标识符的数目限制在 1024(甚至更少)。如果你计划运行一台快速的出口节点,这一数目也许不够。Linux 中, 你应该在 /etc/security/limits.conf 文件中添加一行,如“toruser hard nofile 8192” (toruser 是运行 Tor 进程的用户),然后重新启动 Tor(如果 Tor 以软件包的方式 安装)或者登出再登陆(如果运行 Tor 的用户就是你)。
15、如果你是通过软件包或安装文件安装的 Tor,它可能会在系统启动时自动启动 Tor。 如果你是自源文件安装的 Tor,contrib/tor.sh 或者 contrib/torctl 中的初始脚本 也许对你有用。
当你修改了 Tor 的配置,请记得检查中继在配置修改以后依旧正常工作。 请确认你在 torrc 中设置了“ContactInfo”,这样当需要升级或者发生了什么问题时我们能与你取得联系。 如果你有疑问或者问题,请查看文档的获得支持部分 或者从 tor-ops 信箱联系我们。 感谢你为 Tor 网络成长做出的贡献!
如果你有改进本文档的建议,请告诉我们。 谢谢!