登录
当前位置: 首页 > 面试题库 >

禁用从Docker容器访问LAN

皇甫福
2023-03-14
问题内容

我在Docker中使用Ubuntu容器运行Gentoo主机。他们通过Docker自动创建的网桥进行通信。我想丢弃可能来自容器的192.168.0.0/16的所有流量。

$sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
$sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.17.0.2:443

如果需要提供其他信息,请告诉我


问题答案:

一种选择是使用docker运行--icc=false,以防止任何容器与其他容器通信,然后您可以通过将容器与链接来使它们彼此通信--link=container_name:alias。但是,这此时不会阻止容器与主机进行通信。

您也可以按照以下规则使用iptables:

iptables -A INPUT -i docker0 -d 192.168.0.0/16 -j DROP

请记住,主机不会因为icmp错误看到丢弃的数据包,因此在大多数情况下REJECT更为合适。

编辑:更正规则以阻止转发到其他主机:

iptables -I FORWARD -i docker0 -d 192.168.0.0/16 -j DROP


 类似资料:
  • 从另一个容器访问Docker容器

    问题内容: 我基于两个不同的图像创建了两个docker容器。一个数据库,另一个用于网络服务器。这两个容器都在我的Mac OS X上运行。 我可以从主机访问数据库容器,也可以从主机访问Web服务器。 但是,如何从Web服务器访问数据库连接? 我启动数据库容器的方式是 我开始了wls容器作为 我可以通过连接到主机上的数据库 我可以以以下方式访问主机上的wls: 问题答案: 最简单的方法是使用–link

  • 从另一个容器访问docker容器

    我基于两个不同的映像创建了两个docker容器。一个是db,另一个是WebServer。这两个容器都在我的mac OSX上运行。 我可以从主机访问db容器,也可以从主机访问webserver。 我可以访问主机上的wls作为

  • 从另一个容器访问Docker postgres容器

    问题内容: 我正在尝试为将我的应用程序容器连接到postgres容器提供一个便携式解决方案。“便携式”是指我可以给用户两个命令,每个容器一个,它们将始终协同工作。 我的本地PC上运行着一个postgres docker容器,我这样运行它, 我可以使用address从python flask应用程序访问它。 我也将python应用程序也放置在docker容器中,但无法连接到postgres容器。 地

  • 使用容器名称从主机访问Docker容器

    问题内容: 我正在开发服务,并在那里使用docker compose来旋转诸如postgres,redis,elasticsearch之类的服务。我有一个基于RubyOnRails的Web应用程序,并从所有这些服务中进行读写操作。 这是我的 我可以在此网络中ping容器 到目前为止,一切都很好。现在我想在主机上的Rails应用程序上运行ruby,但是能够像目前这样使用url访问postgres实例

  • 从 Docker 容器内访问主机

    我有一个docker应用程序,我使用以下docker compose。yml运行它: 我有一个没有docker化的服务器在我的机器上运行,我可以通过访问它。我希望我的服务能够访问它。 我发现有人建议在我的服务配置中添加以下内容: 但是当我添加这个时,并尝试,我得到。当我尝试<code>curl时,也会出现同样的错误http://host.docker.internal:3000。 我拼命地尝试将端

  • 从Windows访问Docker容器文件

    如何从Windows文件资源管理器访问Docker containers文件夹和文件?

相关阅读

如何从Docker容器访问主机端口Docker-从主机访问容器内的文件从Docker容器访问主机的ssh隧道从其他容器访问mysql容器Jenkins Docker容器无法访问docker.sock

相关文章

Servlet容器Apache访问控制Swift访问控制访问者模式访问者模式

相关问答

从docker容器访问主机数据库拒绝从ec2 docker容器访问S3 bucket限制Internet访问-Docker容器SpringBoot@RestController无法从外部docker容器访问从docker容器访问主机的虚拟机

相关工具

Docker —— 从入门到实践开源数据访问组件DACDockerDocker-PHPdocker-book

相关文档

Windows 访问控制从 Docker 到 Kubernetes 进阶Docker 从入门到实践Windows 访问控制 帮助文档自己动手写 servlet 容器
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.