토렌트 클라이언트가 특정 IP 범위와 통신하는 것을 방지하려고 합니다. 내 경우에는 클라이언트가 특정 사용자로 실행됩니다 500
. 시스템에는 venet0
인터넷 연결을 위한 네트워크 인터페이스가 있습니다.
내가 다음과 같은 일을 한다면:
iptables -A OUTPUT -o venet0 -m owner --uid-owner 500 -j torrent_iprange_check
iptables -A torrent_iprange_check -d 100.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -d 200.100.100.0/24 -j DROP
iptables -A torrent_iprange_check -j ACCEPT
이것만으로도 해당 IP에 대한 토렌트 트래픽을 차단하기에 충분합니까, 아니면 INPUT
온체인도 차단해야 합니까?
답변1
OUTPUT에서 BitTorrent 트래픽을 차단하면 해당 IP 주소로 전송하는 것이 불가능해지고 모든 효과에 대해 그 존재를 알리는 것이 불가능해집니다.
그러나 BitTorrent 클라이언트가 시간을 낭비하는 것을 방지하고 추적기의 특성으로 인해 네트워크가 결국 연결을 시작하려고 시도할 수 있으므로 리소스를 낭비하지 않기 위해 입력 측에서도 이 작업을 수행하는 것이 흥미로울 수 있습니다. .
결국 목록이 너무 길어지면 CPU 리소스를 절약하기 위해 OUTPUT 방향으로 적용하겠습니다.