<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

<div>Thanks for the link & clarification.</div><div><br /></div><div>Best regards,</div><div><br /></div><div>Kenneth<br /></div><br />3. Oct 2018 14:15 by <a href="mailto:entensaison@use.startmail.com" target="_blank" rel="noopener noreferrer">entensaison@use.startmail.com</a>:<br /><br /><blockquote class="tutanota_quote" style="border-left: 1px solid #93A3B8; padding-left: 10px; margin-left: 5px;">

<div>Hi Kenneth,

<br />

find the answers here: <a href="https://lists.torproject.org/pipermail/tor-relays/2018-July/015748.html" target="_blank" rel="noopener noreferrer">https://lists.torproject.org/pipermail/tor-relays/2018-July/015748.html</a>

<br />

It would be great to add that to the guide at

<a href="https://trac.torproject.org/projects/tor/wiki/doc/PluggableTransports/obfs4proxy" target="_blank" rel="noopener noreferrer">https://trac.torproject.org/projects/tor/wiki/doc/PluggableTransports/obfs4proxy</a> ^^.

<br />

<div>

<blockquote class="thunderbird_quote" style="border-left: 1px solid #93a3b8 ; padding-left: 10px ; margin-left: 5px">

<div>Hello,

<br />

<br />

I'm in the process of setting up a couple of obfs4 bridge relays on Ubuntu server 18.04. 

<br />

<br />

I'm endeavoring to apply strict firewall rules to ensure only the necessary ports are open.

<br />

<br />

In accordance with the configuration (below) I've allowed port 9001:

<br />

<br />

#Bridge config

<br />

RunAsDaemon 1

<br />

ORPort 9001

<br />

BridgeRelay 1

<br />

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

<br />

ExtORPort auto

<br />

<br />

#Set your bridge nickname and contact info

<br />

ContactInfo <your-contact-info>

<br />

Nickname pick-a-nickname

<br />

<br />

I've also allowed port 9051 to enable me to connect to the obfs4 server via onionbox.

<br />

<br />

After starting the Tor service the Tor logs report,

<br />

<br />

Opening Socks listener on 127.0.0.1:9050

<br />

<br />

Opening Control listener on 127.0.0.1:9051

<br />

<br />

Opening OR listener on 0.0.0.0:9001

<br />

<br />

Extended OR listener listening on port XXXXX.

<br />

<br />

Registered server transport 'obfs4' at '[::]:33919'

<br />

<br />

All of the ports listed (above) appear to be fixed ports that open each time I start/restart Tor. However, the

"Extended OR listener listening on port XXXXX" changes on each start/restart.

<br />

<div>I can see the configuration (above) instructs ExtORPort auto.</div>

<div> </div>

<div>I've looked online where there is some advice suggesting the auto setting for ExtORPort is important for security

reasons, however, if I'd like to have strict firewall rules the auto setting becomes problematic.</div>

<br />

Currently, I've allowed port 9001 & the Tor logs report,

<br />

<br />

Now checking whether ORPort XXX.XXX.XXX.XX:9001 is reachable...

<br />

<br />

Self-testing indicates your ORPort is reachable from the outside.

<br />

<br />

I'd be grateful for some advice on which ports I should keep open, to ensure I can provide the very best service &

good security practice both for the client & the server - thanks :)

<br />

<br />

Best regards,

<br />

<br />

Kenneth</div>

</blockquote>

</div>

</div></blockquote>  </body>

</html>