Ich versuche, einen Torrent-Client daran zu hindern, mit bestimmten IP-Bereichen zu kommunizieren. Der Client läuft als bestimmter Benutzer; in meinem Fall ist es 500. Das System verfügt über eine Netzwerkschnittstelle venet0für die Verbindung mit dem Internet.
Wenn ich so etwas mache wie:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
Reicht dies allein aus, um den Torrent-Verkehr zu diesen IPs zu blockieren, oder muss ich INPUTauch die Kette blockieren?
Antwort1
Das Blockieren des BitTorrent-Verkehrs am Ausgang sollte ausreichen, damit dieser nicht mehr an diese IP-Adressen senden und seine Präsenz ankündigen kann. Ansonsten ist er tot.
Wenn Sie jedoch verhindern möchten, dass der BitTorrent-Client Zeit verschwendet, und aufgrund der Art der Tracker die Netzwerke möglicherweise irgendwann versuchen, eine Verbindung herzustellen, kann es zur Vermeidung von Ressourcenverschwendung auch interessant sein, dies auf der INPUT-Seite durchzuführen.
Wenn die Liste schließlich zu lang wird, würde ich sie einfach auf die OUTPUT-Richtung anwenden, um CPU-Ressourcen zu sparen.