Sono sorpreso che Discourse non lo faccia già (soprattutto perché la maggior parte degli utenti Tor che tentano di accedere ai forum sta probabilmente aggirando le sospensioni precedenti), ma c’è un modo per impedire agli utenti Tor di registrarsi sul mio forum?
Un utente in particolare sta usando Tor per aggirare i ban IP e le restrizioni di fingerprinting più e più volte. È diventato un enorme grattacapo gestirli… 
Discourse non è un webserver di per sé. Tor è un problema in qualche modo, ma davvero minore rispetto alla rete “normale”. Ma in che modo questa situazione è diversa da se quel tizio usasse semplicemente un altro servizio VPN?
Puoi riconoscere i Tor-IP conosciuti a livello di server e bannarli lì, ma non facilmente “out-of-the-box”. Quelli privati sconosciuti… nessuna possibilità.
Ma a un livello più generale… gli IP sono inutili. Il mio IP cambia con l’ISP mobile almeno una volta alla settimana. Buona fortuna a bannarmi per IP perché la prossima settimana non sarà lo stesso. In realtà, può cambiare anche oggi quando faccio un viaggio di 10 miglia.
Gli IP aiutano solo quando ci sono connessioni basate su cavo. Ma poi lo stesso tizio passa alla VPN e addio a quel ban.
Fingerprinting… dove è ancora permesso e il sistema legale identifica gli utenti?
Non sempre. Molti operatori via cavo utilizzano DHCP per distribuire indirizzi IP e quando la concessione di un indirizzo scade, possono assegnarne uno nuovo e lo fanno. Il successivo sarà probabilmente nello stesso intervallo di IP, ma anche questo potrebbe non accadere. Il mio stesso ISP mi sposta e il nuovo POP può localizzarmi ovunque nel paese.
È vero. Ma è più probabile che l’IP “basato su cavo” non cambi rispetto ai cellulari.
Comunque. Bloccare un IP è uno strumento piuttosto inefficiente, persino inutile. Così come lo è il geo-blocking accurato, ma quella è un’altra storia.
Sarò lieto di accettare qualsiasi soluzione che mi permetta di impedire agli utenti di Tor di accedere al mio forum. È già un problema importante nella mia community e, a mio parere, ha il potenziale per avere un effetto a catena in altre community se più persone ne vengono a conoscenza.
Questa funzionalità in particolare è disastrosa e rende essenzialmente inutili i ban basati sull’IP.
Ho bannato tutti i Tor conosciuti a livello di server usando iptables. Oppure puoi usare Nginx stesso, o un altro reverse proxy.
Usare uno di questi davanti a Discourse è un compito davvero banale. Ma Docker è il più grande punto interrogativo perché bypassa UFW/iptables del VPS in un modo che non riesco a capire perché sto solo salendo quella curva di apprendimento (nei miei libri quella è la più grande preoccupazione per la sicurezza e meno discussa)
Ecco qualcosa sulla questione del firewall:
Certo, qualcuno può creare un plugin che blocca un IP. Non so molto, ma non capisco perché dovrebbe essere difficile — anche WordPress può farlo.
Ma ci sono anche troppi problemi, per come li vedo io: