Si se quiere estar seguro de que el único tráfico de un host es a traves de la red tor, se pueden usar estas reglas del firewall iptables para denegar todo tráfico que no sea de tor.

########################## IPv4
 
# Borra las reglas de salida actuales.
iptables -F OUTPUT
# Permite el tráfico saliente de procesos con usuario "tor".
iptables -A OUTPUT -j ACCEPT -m owner --uid-owner tor
# Permite tráfico saliente desde el interfaz de loopback.
iptables -A OUTPUT -j ACCEPT -o lo
# Permitir algunos servicios UDP
#iptables -A OUTPUT -j ACCEPT -p udp --dport 123
# Se deniega todo el tráfico saliente.
iptables -P OUTPUT DROP
#iptables -L -v
 
########################## IPv6
ip6tables -F OUTPUT
ip6tables -A OUTPUT -j ACCEPT -m owner --uid-owner tor
ip6tables -A OUTPUT -j ACCEPT -o lo
#ip6tables -A OUTPUT -j ACCEPT -p udp --dport 123         
ip6tables -P OUTPUT DROP

Si se usa el navegador de tor, este se debería arrancar usando el mismo usuario que el proceso tor (tor, tor-debian, etc). Una vez se sepa el nombre de usuario, se puede como root fácilmente ejecutar los siguientes comandos para ejecutar el tor-browser con privilegios de usuario tor. De esta manera funcionará con las reglas iptables.

chown -R tor:tor tor-browser_en-US_tor/
su -s /bin/bash tor
cd tor-browser_en-US_tor/
./start-tor-browser.desktop