1
我尝试使用泊坞窗容器,其中只有特定IP地址应该可以从正在运行的容器中访问。 iptables只能在priviliged docker容器中工作。但比用户可以自己更改iptables。 一个不错的想法是用dockerfile和iptables创建一个docker镜像。但是在创建图像时没有特权的选项。 任何人有一个想法如何解决这个问题?限制网络访问但允许运行Docker容器的特定IP地址
最佳
A
回答
3
每个搬运工人容器都有一个唯一的IP地址,所以如果你想允许容器地址172.17.0.21,你希望它能够只访问地址8.8.8.8,你可以这样做:
iptables -A FORWARD -s 172.17.0.21 -d 8.8.8.8 -j ACCEPT
iptables -A FORWARD -s 172.17.0.21 -j REJECT --reject-with icmp-host-prohibited
也可以使用nsenter命令来修改iptables规则内无特权的容器。例如,如果你开始一个码头工人的容器:
docker run --name example -d myimage
你可以这样获得PID是容器:
pid=$(docker inspect -f '{{.State.Pid}}' example)
然后用nsenter到容器的网络命名空间中运行命令:
nsenter -t $pid -n iptables ...
这些命令将运行而不是在容器内运行的命令的功能限制。
+0
使用nsenter添加iptables规则看起来不错。有关如何使这些规则在容器启动时持久化/恢复的任何提示? – 2018-02-13 22:20:28
+0
我不认为有一个很好的方法来实现这一点。没有太多的努力,你可以做的最好的事情就是将所有必要的命令放在一个脚本中,这样你只需要运行一个命令就可以重新安装一些东西。 – larsks 2018-02-15 12:29:30
相关问题
- 1. 只允许从node.js中的特定IP地址访问目录
- 2. .htaccess限制/允许通过IP地址到特定页面
- 3. Symfony2 + Apache2.4 - 限制访问特定的网址,并允许它只从特定的IP
- 4. Symfony 2.6通过主机限制url,但允许特定的IP访问它
- 5. 通过IP地址限制网页内容访问
- 6. 允许来自内部网络的Bluemix容器的IP地址范围
- 7. IIS7只允许访问本地网络
- 8. 在Docker Swarm集群上访问Couchbase容器的IP地址
- 9. 只允许来自特定网络的网站访问
- 10. 限制IdentityServer3 ClientCredentials按IP地址访问
- 11. 只允许访问网站从一个特定的网址
- 12. 只允许网站访问通过特定的网址
- 13. 阻止.htaccess中的特定网址并允许通过IP访问
- 14. 允许访问仅用于特定IP的网站
- 15. 找出Docker容器中的IP地址
- 16. 访问原产地限制的网站,但允许一切,当连接到特定的网站
- 17. 允许访问一个网址的用户名/密码等人从IP地址
- 18. 红宝石 - 允许/限制网址访问
- 19. 如何在GCDWebServer中限制连接到允许的IP地址
- 20. htaccess - 允许目录访问特定的网址
- 21. 使用htaccess限制访问,但允许从网页
- 22. 仅允许特定应用程序访问网络共享
- 23. ufw只允许从我的IP地址访问mongo(IPv6)
- 24. 寻找访客网络IP地址
- 25. 阻止访问您网站的某些特定IP地址
- 26. Docker来自Ip的AWS访问容器
- 27. 是否有可能限制这里访问特定的IP地址的API?
- 28. 指定网络ip docker
- 29. 将Docker容器连接到网络接口/设备而不是IP地址
- 30. Apache:限制访问虚拟主机内部的特定源IP地址
在主机上(在FORWARD链中)创建iptables,而不是在Docker容器中。 – larsks 2015-02-09 13:07:58
但是,我如何处理不同的码头实例不同的IP? – user1200794 2015-02-09 13:21:43