Outra ressalva, O TOR sim so abre caminhos alternativos, mas a porta que ele usa pode ser personalizada pelo usuario ou seja se o usuario atraves de um scan na rede encontrar uma porta aberta nao usada por padaro por nenhum outro aplicativo ele pode utiliza-la no TOR. Por padaro o tor usa a porta 9050 e para comunicacao interna entre os aplicativos do proprio TOR a 9051. O Tor usa sockets como comunicacao entre ele e o Vidalia por isto desta porta 9051.... e sockets para tunelamento e rotas alternativas.
Simplificando a navegacao alternativa do TOR simplesmente se passeia em rotear rotas o maximo possivel tornando quase impossivel vc descobrir a origem da conexao, para isto o usuario da rede local tem que simplesmnte mapear os gateways e portas abertas na rede local e customizar a configuracao do TOR. O TOR tem um sistema de FirewallFacist que ele proprio escaneia portas abertas e as muda a cada conexao, por isto disse que bloquear no iptables eh paliativo basta quem estiver usando o TOR escanear a rede novamente e achar outra porta que ele possa utilizar ou detectar outras rotas dentro da rede, se houver.
Outro ponto, o usuario pode configurar o TOR para utilizar o proxy padaro da rede. ele enviaria pacotes fragamentados de forma que o proxy daria bypass para o mesmo, eh assim que o nmap consegue escanear uma rede mesmo com todas as portas filtradas. A solucao que deram do link eh interessante de bloquear o ip que o TOR esta utilizando, o mesmo muda de tempos em tempos, acho que eh a melhor solucao, se nao for a unica