Restringir o Deluge apenas ao tun0, mas permitir o Deluge Web UI sobre eth0

Restringir o Deluge apenas ao tun0, mas permitir o Deluge Web UI sobre eth0

Depois de muitas pesquisas, consegui restringir o tráfego de rede dilúvio apenas à interface VPN tun0 usando o seguinte comando:

sudo iptables -A OUTPUT -m owner --uid-owner deluge \! -o tun0 -j REJECT

Mas agora não consigo acessar a WebUI via eth0 na porta 8112 (ou seja, 192.168.0.23:8112)

Posso usar outra regra de iptables para fornecer acesso ao WebUI na rede local?

Responder1

Isso forçará o dilúvio a usar apenas o túnel VPN, com exceção da sua sub-rede local.

iptables -A OUTPUT -m owner --uid-owner deluge ! -d 192.168.1.0/24 \! -o tun0 -j REJECT

A lógica é que ele bloqueia todo o OUTPUT que não seja o túnel VPN, com exceção da sub-rede local.

Certifique-se de verificar qual usuário seu dilúvio usa. e ajuste a sub-rede para corresponder à sua. Verifique também no ifconfig se o nome do seu túnel, no meu exemplo, tun0

Responder2

Outra maneira é permitir apenas que a conexão VPN e a interface da web passem pela eth0 e bloquear todo o resto:

-A INPUT -s my.vpn.net -i eth0 -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -s my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A INPUT ! -i tun0 -j DROP
-A OUTPUT -d my.vpn.net -o eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -d my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A OUTPUT ! -o tun0 -j DROP

Responder3

Usando contêineres (LXC/LXD/Docker):

se você iniciar uma interface wireguard no host e adicionar a interface a um contêiner executando o dilúvio como a única interface, o acesso será restrito apenas à interface wireguard.

Você pode adicionar um dispositivo proxy que se liga à porta webui no host local dentro do contêiner e escuta qualquer endereço no host.

Não é necessário iptables.

informação relacionada