禁用从docker容器访问LAN
发布时间:2020-12-16 03:30:08 所属栏目:安全 来源:网络整理
导读:我在Docker中运行带有Ubuntu容器的Gentoo主机.它们通过Docker自动创建的桥进行通信.我想放弃可能来自容器的192.168.0.0/16的所有流量. $sudo iptables -S-P INPUT ACCEPT-P FORWARD ACCEPT-P OUTPUT ACCEPT-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o dock
我在Docker中运行带有Ubuntu容器的Gentoo主机.它们通过Docker自动创建的桥进行通信.我想放弃可能来自容器的192.168.0.0/16的所有流量.
如果我需要提供额外信息,请告诉我 最佳答案
一种选择是使用–icc = false运行docker,防止任何容器与其他容器通信,然后您可以通过将它们与–link = container_name:alias链接来让容器相互通信. This will not block the container from communicating with the host at this time though.
您还可以使用iptables操作,例如:
请记住,主机没有看到因icmp错误而返回的丢弃数据包,因此在大多数情况下REJECT可能更合适. 编辑:更正规则以阻止转发到其他主机:
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |