Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:

#!/bin/bash

ipset -N rware
ipset -N tor

wget -q https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt -O - |\
sed "/^#/d" | while read IP
do
  ipset -q -A rware $IP
done
wget -q https://feodotracker.abuse.ch/blocklist/?download=ipblocklist -O - |\
sed "/^#/d" | while read IP
do
  ipset -q -A rware $IP
done
wget -q http://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv -O - |\
while read IP
do
  ipset -q -A tor $IP
done

iptables -A FORWARD -m set --match-set rware src -d 192.168.0/24 -j DROP
iptables -A FORWARD -m set --match-set tor src -d 192.168.0/24 -j DROP

Więcej informacji: The Swiss Security Blog, Advanced Firewall Configurations with ipset