Ich bin überrascht, dass Discourse das nicht bereits tut (besonders da die meisten Tor-Benutzer, die versuchen, auf Foren zuzugreifen, frühere Sperrungen wahrscheinlich umgehen), aber gibt es eine Möglichkeit, Tor-Benutzer von der Registrierung in meinem Forum auszuschließen?
Ein bestimmter Benutzer nutzt Tor, um immer wieder IP-Sperren und Fingerprinting-Beschränkungen zu umgehen. Es ist zu einer riesigen Belastung geworden, sich mit ihm zu befassen… 
Discourse ist kein Webserver an sich. Tor ist irgendein Problem, aber wirklich ein kleines im Vergleich zum “normalen” Netzwerk. Aber wie unterscheidet sich diese Situation von der, wenn dieser Typ einfach einen anderen VPN-Dienst nutzen würde?
Man kann bekannte Tor-IPs auf Serverebene erkennen und dort sperren, aber nicht einfach so “out-of-the-box”. Unbekannte private… keine Chance.
Aber auf einer allgemeineren Ebene… IPs sind nutzlos. Meine IP ändert sich bei meinem Mobilfunkanbieter mindestens einmal pro Woche. Viel Glück beim Sperren nach IP, denn nächste Woche ist sie nicht mehr dieselbe. Tatsächlich kann sie sich sogar heute ändern, wenn ich eine 10-Meilen-Fahrt mache.
IPs helfen nur bei kabelbasierten Verbindungen. Aber dann wechselt derselbe Typ zu einem VPN und weg ist die Sperrung.
Fingerprinting… wo ist das noch erlaubt und das Rechtssystem identifiziert Benutzer?
Nicht immer. Viele Kabelnetzbetreiber verwenden DHCP, um IP-Adressen zuzuweisen, und wenn die Zuweisung einer Adresse abläuft, können und werden sie eine neue zuweisen. Die nächste wird wahrscheinlich im selben IP-Bereich liegen, aber selbst das muss nicht passieren. Mein eigener ISP weist mich um, und der neue POP kann mich überall im Land per Geolocation lokalisieren.
Das stimmt. Aber es ist wahrscheinlicher, dass sich eine IP-Adresse, die über ein Kabel verbunden ist, nicht ändert, als dass es bei Mobiltelefonen der Fall ist.
Jedenfalls ist das Blockieren einer IP-Adresse ein ziemlich ineffizientes Werkzeug, sogar nutzlos. Genauso wie präzises Geoblocking, aber das ist eine andere Kiste.
Ich werde jede Lösung gerne annehmen, die es mir ermöglicht, Tor-Benutzer von meinem Forum fernzuhalten. Es ist bereits ein großes Problem in meiner Community, und meiner Meinung nach hat es das Potenzial, sich auf andere Communities auszuwirken, wenn mehr Leute davon erfahren.
Diese Funktion ist besonders katastrophal und macht IP-Sperren praktisch nutzlos.
Ich habe alle bekannten Tors auf Serverebene mit iptables gesperrt. Oder Sie können auch Nginx selbst verwenden, oder einen anderen Reverse-Proxy.
Die Verwendung eines dieser Frontends für Discourse ist eine wirklich triviale Aufgabe. Aber Docker ist das größte Fragezeichen, weil es UFW/iptables von VPS auf eine Weise umgeht, die ich nicht verstehen kann, da ich gerade erst anfange, mich damit zu beschäftigen (in meinen Augen ist das die größte Sicherheitsbedenken und wird am wenigsten diskutiert).
Hier ist etwas über die Firewall-Frage:
Natürlich kann jemand ein Plugin erstellen, das eine IP-Adresse stoppt. Ich weiß nicht viel, aber ich kann nicht verstehen, warum das schwierig sein sollte – selbst WordPress kann das.
Aber es gibt auch zu viele Probleme, wie ich sie sehe: