我试图阻止 Torrent 客户端与某些 IP 范围通信。客户端以特定用户身份运行;就我而言是的500。该系统具有venet0用于连接到互联网的网络接口。
如果我做类似的事情:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
仅此一项就足以阻止流向这些 IP 的洪流流量,还是我INPUT也必须在链上进行阻止?
答案1
阻止 OUTPUT 上的 BitTorrent 流量应该足以使其无法向该 IP 地址传输并宣布其存在;对于所有的影响,它都会死。
但是,如果您想防止 BitTorrent 客户端浪费时间,并且由于跟踪器的性质,网络最终可能会尝试发起连接,因此为了不浪费资源,在输入端执行此操作也可能很有趣。
最终,如果列表变得太长,我会将其应用到 OUTPUT 方向以节省 CPU 资源。