Depois de muitas pesquisas, consegui restringir o tráfego de rede dilúvio apenas à interface VPN tun0 usando o seguinte comando:
sudo iptables -A OUTPUT -m owner --uid-owner deluge \! -o tun0 -j REJECT
Mas agora não consigo acessar a WebUI via eth0 na porta 8112 (ou seja, 192.168.0.23:8112)
Posso usar outra regra de iptables para fornecer acesso ao WebUI na rede local?
Responder1
Isso forçará o dilúvio a usar apenas o túnel VPN, com exceção da sua sub-rede local.
iptables -A OUTPUT -m owner --uid-owner deluge ! -d 192.168.1.0/24 \! -o tun0 -j REJECT
A lógica é que ele bloqueia todo o OUTPUT que não seja o túnel VPN, com exceção da sub-rede local.
Certifique-se de verificar qual usuário seu dilúvio usa. e ajuste a sub-rede para corresponder à sua. Verifique também no ifconfig se o nome do seu túnel, no meu exemplo, tun0
Responder2
Outra maneira é permitir apenas que a conexão VPN e a interface da web passem pela eth0 e bloquear todo o resto:
-A INPUT -s my.vpn.net -i eth0 -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -s my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A INPUT ! -i tun0 -j DROP
-A OUTPUT -d my.vpn.net -o eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -d my.local.ip -i eth0 -p udp -m udp --sport 8112 -j ACCEPT
-A OUTPUT ! -o tun0 -j DROP
Responder3
Usando contêineres (LXC/LXD/Docker):
se você iniciar uma interface wireguard no host e adicionar a interface a um contêiner executando o dilúvio como a única interface, o acesso será restrito apenas à interface wireguard.
Você pode adicionar um dispositivo proxy que se liga à porta webui no host local dentro do contêiner e escuta qualquer endereço no host.
Não é necessário iptables.