Estou tentando impedir que um cliente Torrent se comunique com determinados intervalos de IP. O cliente é executado como um usuário específico; no meu caso é 500. O sistema possui uma interface de rede venet0para conexão com a internet.
Se eu fizer algo como:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
Isso por si só é suficiente para bloquear o tráfego de torrent para esses IPs ou preciso bloquear a INPUTcadeia também?
Responder1
Bloquear o tráfego bittorrent no OUTPUT deve ser suficiente para que ele não consiga transmitir e anunciar sua presença para esses endereços IP; para todos os efeitos, estará morto.
Porém, se você quiser evitar que o cliente bittorrent perca tempo, e devido à natureza dos rastreadores, as redes eventualmente possam tentar originar uma conexão, então para não desperdiçar recursos, também pode ser interessante fazê-lo no lado INPUT .
Eventualmente, se a lista ficar muito longa, eu apenas a aplicaria na direção OUTPUT para economizar recursos da CPU.