阻止從Docker容器到私有IP的傳出連接

Question

我們在使用Docker的服務器上運行的一些服務試圖連接到私有IP地址（10.0.0.0/8,192.0.0.0/16,172.16.0.0/12 ，100.64.0.0/10）。

此行爲很正常，但我們的服務器提供商檢測到此流量並向我們發送警報。

我們只想停止傳出流量，而不是使用iptables傳入。

這是我們的當前設置：

-A OUTPUT -d 192.168.0.0/16 -m owner --uid-owner `id -u dockeruser` -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -d 100.64.0.0/10 -m owner --uid-owner `id -u dockeruser` -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -d 172.16.0.0/12 -m owner --uid-owner `id -u dockeruser` -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -d 10.0.0.0/8 -m owner --uid-owner `id -u dockeruser` -j REJECT --reject-with icmp-port-unreachable 

然而，這似乎並沒有工作，因爲碼頭工人創建以下規則：

Chain FORWARD (policy ACCEPT) 
target  prot opt source    destination 
DOCKER-ISOLATION all -- anywhere    anywhere 
DOCKER  all -- anywhere    anywhere 

對於服務：

Chain DOCKER (1 references) 
target  prot opt source    destination 
ACCEPT  tcp -- anywhere    172.17.0.2   tcp dpt:1234 
ACCEPT  tcp -- anywhere    172.17.0.4   tcp dpt:1234 

最後：

Chain DOCKER-ISOLATION (1 references) 
target  prot opt source    destination 
RETURN  all -- anywhere    anywhere 

任何反饋意見。

Answer 1

您正在添加錯誤鏈中的規則。源自碼頭集裝箱的流量通過filter表的FORWARD鏈，而不是OUTPUT鏈。這是因爲從主機的角度來看，流量來自接口，而主機只是作爲轉發器。

爲了區分入站和出站流量，請使用-i和-o選項指定接口。你也不能使用uid來確定流量是否來自碼頭集裝箱（因爲數據不是本地產生的）。檢查傳入界面就足夠了。

所以，添加以下規則到DOCKER-ISOLATION鏈（其正在從FORWARD鏈稱爲）：

-A DOCKER-ISOLATION -d 192.168.0.0/16 -i docker0 ! -o docker0 -j REJECT --reject-with icmp-port-unreachable 
-A DOCKER-ISOLATION -d 100.64.0.0/10 -i docker0 ! -o docker0 -j REJECT --reject-with icmp-port-unreachable 
-A DOCKER-ISOLATION -d 172.16.0.0/12 -i docker0 ! -o docker0 -j REJECT --reject-with icmp-port-unreachable 
-A DOCKER-ISOLATION -d 10.0.0.0/8 -i docker0 ! -o docker0 -j REJECT --reject-with icmp-port-unreachable 

由搬運工創建的虛擬接口的名稱替換docker0。

（注意：如果鏈條DOCKER-ISOLATION不存在，直接附加到FORWARD鏈）。

另請參閱iptables -vL和iptables -t nat -vL的輸出以更好地瞭解地址如何翻譯。