Tor / .onion / Onion Service のまとめ
0. まず単語の意味を整理する
この記事では、主に次の3つの言葉が出てきます。
| 用語 | 意味 |
|---|---|
| Tor | 通信経路を複数の中継ノードに通して、匿名性を高めるためのネットワーク |
.onion |
Torネットワーク内で使われる特殊なアドレス |
| Onion Service | 自分のWebサーバなどを、Tor経由で .onion アドレスからアクセス可能にする仕組み |
ざっくり関係をまとめると、こうです。
もう少し簡単に言うと、
-
Tor
→ 匿名性を高めるためのネットワーク -
.onion
→ Torネットワーク内で使う専用アドレス -
Onion Service
→ 自分のサーバを.onion経由で公開する仕組み
です。
例えば、自分のPCやサーバ上でWebサーバを動かして、それをTor経由で公開すると、利用者は次のようにアクセスします。
ここで重要なのは、.onion は普通のDNSドメインではなく、Torネットワーク専用のアドレスだという点です。
1. Torとは何か
Tor は、通信経路を複数の中継ノードに通して匿名性を高めるネットワークです。
正式名称は The Onion Router です。
普通のWebアクセスは、だいたいこうです。
この場合、相手のサイトや経路上の一部から、あなたのIPアドレスが見えることがあります。
Torではこうなります。
つまり、
- 通信が複数のノードを経由する
- 直接相手とつながりにくい
- 匿名性を高めやすい
という仕組みです。
2. .onion とは何か
.onion は、Torネットワーク専用の特殊なアドレスです。
見た目はドメインっぽいです。
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion
ただし、普通の .com や .jp とは違います。
普通のドメイン
.onion
つまり、.onion は
- 普通のDNSでは名前解決されない
- Torネットワーク内でのみ使われる
- Tor Browser などからアクセスする
という特徴があります。
3. .onion は「ドメイン」なのか
ざっくり言うと、
見た目はドメイン名のようだが、普通のDNSドメインではなく、Tor専用の特殊アドレス
です。
普通のドメインは、レジストラで取得します。
.com.jp
などは、契約して取得します。
一方 .onion は、Onion Service を作ると自動的に生成されるものです。
つまり、買うものではありません。
4. Onion Serviceとは何か
Onion Service とは、
自分のWebサーバやアプリケーションを、Torネットワーク経由で
.onionアドレスからアクセスできるようにする仕組み
です。
「Torネットワーク上にサーバを新しく置く」というより、
自分のローカルWebサーバを、Tor経由で外部からアクセス可能にする
というイメージの方が近いです。
例えばローカルの 127.0.0.1:80 でWebサーバが動いているとします。
その前にTorを置いて、.onion から到達できるようにします。
つまり、Torが中継役になります。
5. どういう設定をするのか
代表的には、torrc にこういう設定を書きます。
HiddenServiceDir /var/lib/tor/my_onion_service/
HiddenServicePort 80 127.0.0.1:80
意味はこうです。
-
HiddenServiceDir
→.onionサービス用の秘密鍵やホスト名を保存する場所 -
HiddenServicePort 80 127.0.0.1:80
→.onionの80番に来た通信を、ローカルの127.0.0.1:80に転送する
流れを図にするとこうです。
6. どうして自分のローカルネットワークのサーバに外部からアクセスできるのか
ここが一番重要です。
普通のWeb公開なら、外部から自宅ルーターへ直接アクセスしてきます。
この場合、普通は
- ポート開放
- NAT設定
- 固定IPやDDNS
などが必要になります。
Torの Onion Service は違う
Torでは、外から直接あなたのLANに入ってくるわけではありません。
あなたのサーバ側のTorが、先にTorネットワークへ外向き接続を張ります。
その結果、Torネットワーク内で「待ち合わせ」して通信します。
つまり、
- 外から直接LANに穴を開けているわけではない
- あなたのTorが外向きにTorネットワークへ接続している
- そのTor経由で通信が中継される
という構造です。
7. 「Tor利用者が自分のLAN全体に入れる」のか
いいえ。基本的には入れません。
torrc で例えば、
HiddenServicePort 80 127.0.0.1:80
と書いた場合、Tor経由で見えるのは基本的に、
.onion:80- →
127.0.0.1:80
の対応先だけです。
図にするとこうです。
つまり、設定した宛先だけが公開されるのであって、LAN全体が丸見えになるわけではありません。
ただし、LAN内の別サーバへ転送することも技術的には可能です。
たとえば、
HiddenServicePort 80 192.168.1.20:80
のように書けば、LAN内の別ホストを公開できます。
この場合はこうなります。
そのため、公開先は慎重に決める必要があります。
8. 公開は無料でできるのか
結論から言うと、
Torへの公開自体は無料でできる
です。
無料なものは次のとおりです。
- Torソフトウェア
-
.onionアドレスの生成 - Torネットワークへの公開
- DNS契約不要
- ドメイン取得不要
- 固定グローバルIP不要
- 基本的にポート開放不要
図で整理するとこうです。
ただし完全にゼロ円とは限らない
Torそのものは無料でも、次のコストはありえます。
- 自宅PC / サーバの電気代
- VPSを使うならVPS代
- サーバ管理の手間
- セキュリティ対策
- ログ管理
- バックアップ
つまり、
Tor利用料は無料だが、サーバ運用コストは別
です。
全体の流れを1枚でまとめると
一言で総まとめ
Tor
通信を複数の中継ノードに通し、匿名性を高めるネットワーク。
.onion
Torネットワーク専用の特殊なアドレス。普通のDNSでは解決されない。
Onion Service
自分のローカルサービスを、Tor経由で .onion からアクセス可能にする仕組み。
公開の仕組み
外部が直接LANへ入るのではなく、自分のTorが外向きにTorネットワークへ接続し、その経路を使って中継する。
費用
Tor公開自体は無料。ただし、サーバ本体や電気代、VPS代、運用コストは別。