我試圖阻止 Torrent 用戶端與某些 IP 範圍通訊。客戶端以特定使用者身分運作;就我而言是的500。本系統具有venet0用於連接到網際網路的網路介面。
如果我做類似的事情:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
僅此一項就足以阻止流向這些 IP 的洪流流量,還是我INPUT也必須在鏈上進行阻止?
答案1
阻止 OUTPUT 上的 BitTorrent 流量應該足以使其無法向該 IP 位址傳輸並宣布其存在;對於所有的影響,它都會死。
但是,如果您想防止 BitTorrent 用戶端浪費時間,並且由於追蹤器的性質,網路最終可能會嘗試發起連接,因此為了不浪費資源,在輸入端執行此操作也可能很有趣。
最終,如果清單變得太長,我會將其應用到 OUTPUT 方向以節省 CPU 資源。