Estoy intentando evitar que un cliente Torrent se comunique con ciertos rangos de IP. El cliente se ejecuta como un usuario específico; en mi caso lo es 500. El sistema tiene una interfaz de red venet0para conectarse a Internet.
Si hago algo como:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
INPUT¿Es esto suficiente por sí solo para bloquear el tráfico de torrents a esas IP o también tengo que bloquear la cadena?
Respuesta1
Bloquear el tráfico bittorrent en la SALIDA debería ser suficiente para que no pueda transmitir y anunciar su presencia a esas direcciones IP; para todos los efectos estará muerto.
Sin embargo, si quieres evitar que el cliente bittorrent pierda tiempo, y debido a la naturaleza de los trackers, las redes eventualmente podrían intentar originar una conexión, para no desperdiciar recursos, también podría ser interesante hacerlo en el lado INPUT. .
Eventualmente, si la lista se vuelve demasiado larga, simplemente la aplicaría en la dirección SALIDA para ahorrar recursos de la CPU.