unbelieve

Установить tsocks

tsocks prog_name

Я бы сделал overlay fs с изменениями в оперативке - пусть хоть что меняют. Ребут и снова все красиво.

Идея такая. Пишите bash скрипт который извлекает из себя тело архива декодирует из base64 сохраняет и распаковывает.
cat ваш_архив.tar.bz2 | base64 >> ваш_скрипт вот так можно архив добавить к скрипту.

Как из этого списка можно исключить диапазон ip адресов? Например если составить отдельную таблицу (в iptables) со списком ip адресов, как должна выглядеть команда, исключающая эту таблицу от перенаправления трафика?

пример с блокировкой, но идея та же.
https://www.skleroznik.in.ua/2014/03/12/blokiruem-...

блочат, и давно уже)
юзай xray vless+reallity

плохо читал доку...)
вообще - проще заюзать xray. там есть поддержка SS в том числе.

насчет ограничений - я решил этот вопрос переадресовав каждый логин на локальный прокси, и там уже ограничив подключение и скорость.

Вопрос решился настройкой Shadowsocks Manager. Теперь у каждого пользователя свой порт и количество подключений на порт ограничиваю с помощью iptables

Установите пакет xtables-addons-common (или аналогичный в вашем дистрибутиве) и настройте модуль ipp2p на блокировку Bittorrent-трафика:
iptables -A FORWARD -m ipp2p --bit -j DROP

Он несколько старенький, но умеет блокировать и классический Bittorrent, и DHT, но насчёт µTP не уверен. Он точно не блокирует обфусцированный TCP Bittorrent.

провайдер - нет.
а впн провайдер - да
и кстати в вопросе не указано - идут ли Ваши запросы ДНС в ВПН или нет... потому что настроить можно по разному

Если DNS ходит через VPN - не увидит. Но провайдеру это и не интересно :) А те, кому интересно - у них есть другие способы узнать, и к ИТ эти способы имеют очень мало отношения

Обычно, в случае IPv6, в другую сеть маршрутизируют целую подсеть. Для этого необходимо получить отдельную сеть от хостера, либо же разделить бо́льшую сеть (например, /56) на несколько меньших (например, /64), но эта сеть обязательно должна быть «заведена» на сервер в помощью маршрутизации, а не её назначением на интерфейс.

В вашем случае, полагаю, у вас всего одна /64-подсеть, из которой один из адресов уже назначен серверу. Это означает, что сеть назначена на интерфейс, а не настроена маршрутом на него. В этом случае оборудование хостера ожидает NDP-анонсы от каждого адреса (клиента). Необходимо настроить NDP proxy, либо тот, что встроен в Linux, либо отдельный демон на выбор: ndppd, ndp-proxy, ndproxy, autoneighxy.

Больше по теме:
https://www.geeklab.info/2013/05/ipv6-neighbour-proxy/
https://quantum5.ca/2019/03/08/ndp-proxy-route-ipv...
https://mkaczanowski.com/ndppd-ipv6-ndp-proxy/

А прямой ответ на вопрос «Как правильно выдать ipv6?» — запросить у хостера дополнительную подсеть/подсети нужного размера, смаршрутизированные на сервер, и смаршрутизировать их дальше в VPN штатными средствами, без NDP Proxy.

P.S. в OpenWRT встроен собственный отличный NDP Proxy, работающий из коробки и не требующий дополнительных настроек.

Не панацея. Поставить на сервере с wireguard AdGuard Home, настроить его как DNS для VPN подключений и блокировать запросы к трекерам torrentов - есть даже готовый пример
https://github.com/DNCD/block-bittorrent-domains
Красиво и с web интерфейсом