Tor-Exit-IPs blockieren

  • bdz

    Changed the title of the thread from “Tor-Exit-IPs blockieen” to “Tor-Exit-IPs blockieren”.
  • Die Frage ist, wieviel Kontrolle hast Du über Dein System?

    Weil "im Forum blockieren" ist nicht so optimal, da gibt es ein paar Stufen, wo man vorher unter Einsparung von Ressourcen blockieren könnte.

    1. An der Firewall des Subnetzes.
    2. An der Firewall des Servers (z.B. iptables).
    3. An der Webserver-Konfiguration (z.B. vHost oder notfalls .htaccess).
    4. In der Forensoftware.

    Aus der Sicht einer Effizienz unter Ressourcengesichtspunkten, wäre das die zu präferierende Block-Reihenfolge. Forum ist also die schlechste Variante.

  • Bist Du sicher, dass das "WoltLab" ist

    jap ;)


    Gerade kann ich es nicht testen, aber ich wollte mich mal ausversehen im TOR Netzwerk anmelden und bekam dann eine Fehlermeldung... Der Seitenquelltext sah mir sehr nach dem WSC aus.

    return null;


    Browser: Firefox Nightly (64bit)

    Betriebssystem: Windows 10

  • Gerade kann ich es nicht testen, aber ich wollte mich mal ausversehen im TOR Netzwerk anmelden und bekam dann eine Fehlermeldung... Der Seitenquelltext sah mir sehr nach dem WSC aus.

    Sind aber (afaik) Error-Seiten von Cloudflare, die Woltlab designtechnisch etwas angepasst hat... wobei wir langsam vom Thema abschweifen.

  • Dann war es früher so. Ich hatte oben die Menü-Bar und unten alle Impressum-Dinger. Es war einfach eine NamedUserException...


    Naja, wir schweifen echt ab.

    return null;


    Browser: Firefox Nightly (64bit)

    Betriebssystem: Windows 10

  • Wir haben Tor-Exit-Nodes noch nie via Cloudflare blockieren lassen, es gibt lediglich eine Einschränkung auf den rein lesenden Zugriff. Letzteres erfolgt über eine Teilkomponente eines eigenen Plugins das hier läuft, aber im Grunde genommen ist der wichtigste Tiel der periodische Abgleich der Exit-Nodes, die Liste wurde oben bereits verlinkt.

  • Mit root-Zugriff ist das natürlich einfach, keine Frage. Die Lösung war mir auch schon bekannt, nur habe ich auf meinem Hostsystem leider keinen root-Zugriff, sodass man am besten folgende Lösung angeht:


    (man benötigt trotzdem ssh-Zugriff und am besten cron, sodass man die Liste natürlich mit einem cronjob regelmäßig aktualisieren kann)

    1. Liste herunterladen

    2. in eine htaccess übertragen und für das entsprechende Verzeichnis einsetzen


    In einen einzelnen Batch-Befehl übertragen sehe es dann so aus:

    sed -i '/#\ REAPER-TOR/,/#\ END-REAPER-TOR/d' /your/www/directory/.htaccess; wget -q https://www.dan.me.uk/torlist/ -O - | sed "s/^/Require not ip /g; 1i#\ REAPER-TOR\n\<RequireAll\>\nRequire all granted" | sed '$a\<\/RequireAll\>\n# END-REAPER-TOR' >> /your/www/directory/.htaccess


    Wenn man keinen ssh-Zugriff hat, kann man die Liste von https://www.dan.me.uk/torlist/ auch in die integrierte IP-Block-Liste des Burning Boards einfügen, wobei das wohl performancetechnisch eine sehr schlechte Lösung ist, da das WBB beim Abruf einer Seite eine if-Abfrage zur jeder IP durchführen muss.


    Wenn man doch root-Zugriff hat, kann man entweder die Lösung von Tobias777 nehmen oder auf eine von https://www.reaper-x.com/2012/…-tor-on-apache-and-nginx/ zugreifen, der in seinem Artikel verschiedene Wege zur Lösung beschreibt.

  • Ich hätte hier (der Vollständigkeit halber) noch eine iptables-Lösung anzubieten (die dann natürlich erst recht root-Zugriff erfordert):


    Vorher ist noch das hier nötig (hatte ich in einem separatem Skript):


    Shell-Script
    1. #!/bin/sh
    2. # TOR-Exit-Nodes blocken (eigentliches Skript wird per Cronjob ausgefuehrt (block_tor_exit_nodes.sh)):
    3. iptables -N TOR_EXIT
    4. iptables -I INPUT -j TOR_EXIT