Я пытаюсь запретить Torrent-клиенту общаться с определенными диапазонами IP-адресов. Клиент работает как определенный пользователь; в моем случае это 500. В системе есть сетевой интерфейс venet0для подключения к Интернету.
Если я сделаю что-то вроде:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
Достаточно ли этого для блокировки торрент-трафика на эти IP-адреса или мне нужно INPUTтакже заблокировать всю цепочку?
решение1
Блокировки трафика BitTorrent на ВЫХОДЕ должно быть достаточно для того, чтобы он не смог передавать данные и объявлять о своем присутствии на эти IP-адреса; со всеми последствиями он будет мертв.
Однако, если вы хотите, чтобы клиент BitTorrent не тратил время впустую, а сети в силу особенностей трекеров в конечном итоге могут попытаться установить соединение, то, чтобы не тратить ресурсы впустую, может быть интересно сделать это на стороне ВХОДА.
В конце концов, если список станет слишком длинным, я просто применю его к направлению OUTPUT, чтобы сэкономить ресурсы ЦП.