Restrinja Deluge solo a tun0 pero permita la interfaz de usuario web de Deluge sobre eth0

Restrinja Deluge solo a tun0 pero permita la interfaz de usuario web de Deluge sobre eth0

Después de muchas búsquedas, pude restringir el tráfico de red de Deluge solo a la interfaz VPN tun0 usando el siguiente comando:

sudo iptables -A OUTPUT -m owner --uid-owner deluge \! -o tun0 -j REJECT

Pero ahora no puedo acceder a la WebUI a través de eth0 en el puerto 8112 (es decir, 192.168.0.23:8112).

¿Puedo usar otra regla de iptables para proporcionar acceso a la WebUI en la red local?

Respuesta1

Esto obligará a Deluge a utilizar únicamente el túnel VPN con excepción de su subred local.

iptables -A OUTPUT -m owner --uid-owner deluge ! -d 192.168.1.0/24 \! -o tun0 -j REJECT

La lógica es que bloquea todas las SALIDAS que no sean el túnel VPN, con excepción de la subred local.

Asegúrese de verificar qué usuario utiliza su diluvio. y ajuste la subred para que coincida con la suya. También verifique dentro de ifconfig que el nombre de su túnel, en mi ejemplo, tun0

Respuesta2

Otra forma es permitir que la conexión VPN y la interfaz web solo pasen por eth0 y bloquear todo lo demás:

-A INPUT -s my.vpn.net -i eth0 -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -s my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A INPUT ! -i tun0 -j DROP
-A OUTPUT -d my.vpn.net -o eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -d my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A OUTPUT ! -o tun0 -j DROP

Respuesta3

Usando contenedores (LXC/LXD/Docker):

Si inicia una interfaz Wireguard en el host y luego agrega la interfaz a un contenedor que ejecuta Deluge como única interfaz, entonces el acceso está restringido únicamente a la interfaz Wireguard.

Puede agregar un dispositivo proxy que se vincule al puerto webui en el host local dentro del contenedor y escuche cualquier dirección en el host.

No se necesitan iptables.

información relacionada