Después de muchas búsquedas, pude restringir el tráfico de red de Deluge solo a la interfaz VPN tun0 usando el siguiente comando:
sudo iptables -A OUTPUT -m owner --uid-owner deluge \! -o tun0 -j REJECT
Pero ahora no puedo acceder a la WebUI a través de eth0 en el puerto 8112 (es decir, 192.168.0.23:8112).
¿Puedo usar otra regla de iptables para proporcionar acceso a la WebUI en la red local?
Respuesta1
Esto obligará a Deluge a utilizar únicamente el túnel VPN con excepción de su subred local.
iptables -A OUTPUT -m owner --uid-owner deluge ! -d 192.168.1.0/24 \! -o tun0 -j REJECT
La lógica es que bloquea todas las SALIDAS que no sean el túnel VPN, con excepción de la subred local.
Asegúrese de verificar qué usuario utiliza su diluvio. y ajuste la subred para que coincida con la suya. También verifique dentro de ifconfig que el nombre de su túnel, en mi ejemplo, tun0
Respuesta2
Otra forma es permitir que la conexión VPN y la interfaz web solo pasen por eth0 y bloquear todo lo demás:
-A INPUT -s my.vpn.net -i eth0 -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -s my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A INPUT ! -i tun0 -j DROP
-A OUTPUT -d my.vpn.net -o eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -d my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A OUTPUT ! -o tun0 -j DROP
Respuesta3
Usando contenedores (LXC/LXD/Docker):
Si inicia una interfaz Wireguard en el host y luego agrega la interfaz a un contenedor que ejecuta Deluge como única interfaz, entonces el acceso está restringido únicamente a la interfaz Wireguard.
Puede agregar un dispositivo proxy que se vincule al puerto webui en el host local dentro del contenedor y escuche cualquier dirección en el host.
No se necesitan iptables.