1
我嘗試使用泊塢窗容器,其中只有特定IP地址應該可以從正在運行的容器中訪問。 iptables只能在priviliged docker容器中工作。但比用戶可以自己更改iptables。 一個不錯的想法是用dockerfile和iptables創建一個docker鏡像。但是在創建圖像時沒有特權的選項。 任何人有一個想法如何解決這個問題?限制網絡訪問但允許運行Docker容器的特定IP地址
最佳
A
回答
3
每個搬運工人容器都有一個唯一的IP地址,所以如果你想允許容器地址172.17.0.21,你希望它能夠只訪問地址8.8.8.8,你可以這樣做:
iptables -A FORWARD -s 172.17.0.21 -d 8.8.8.8 -j ACCEPT
iptables -A FORWARD -s 172.17.0.21 -j REJECT --reject-with icmp-host-prohibited
也可以使用nsenter命令來修改iptables規則內無特權的容器。例如,如果你開始一個碼頭工人的容器:
docker run --name example -d myimage
你可以這樣獲得PID是容器:
pid=$(docker inspect -f '{{.State.Pid}}' example)
然後用nsenter到容器的網絡命名空間中運行命令:
nsenter -t $pid -n iptables ...
這些命令將運行而不是在容器內運行的命令的功能限制。
+0
使用nsenter添加iptables規則看起來不錯。有關如何使這些規則在容器啓動時持久化/恢復的任何提示? – 2018-02-13 22:20:28
+0
我不認爲有一個很好的方法來實現這一點。沒有太多的努力,你可以做的最好的事情就是將所有必要的命令放在一個腳本中,這樣你只需要運行一個命令就可以重新安裝一些東西。 – larsks 2018-02-15 12:29:30
相關問題
- 1. 只允許從node.js中的特定IP地址訪問目錄
- 2. .htaccess限制/允許通過IP地址到特定頁面
- 3. Symfony2 + Apache2.4 - 限制訪問特定的網址,並允許它只從特定的IP
- 4. Symfony 2.6通過主機限制url,但允許特定的IP訪問它
- 5. 通過IP地址限制網頁內容訪問
- 6. 允許來自內部網絡的Bluemix容器的IP地址範圍
- 7. IIS7只允許訪問本地網絡
- 8. 在Docker Swarm集羣上訪問Couchbase容器的IP地址
- 9. 只允許來自特定網絡的網站訪問
- 10. 限制IdentityServer3 ClientCredentials按IP地址訪問
- 11. 只允許訪問網站從一個特定的網址
- 12. 只允許網站訪問通過特定的網址
- 13. 阻止.htaccess中的特定網址並允許通過IP訪問
- 14. 允許訪問僅用於特定IP的網站
- 15. 找出Docker容器中的IP地址
- 16. 訪問原產地限制的網站,但允許一切,當連接到特定的網站
- 17. 允許訪問一個網址的用戶名/密碼等人從IP地址
- 18. 紅寶石 - 允許/限制網址訪問
- 19. 如何在GCDWebServer中限制連接到允許的IP地址
- 20. htaccess - 允許目錄訪問特定的網址
- 21. 使用htaccess限制訪問,但允許從網頁
- 22. 僅允許特定應用程序訪問網絡共享
- 23. ufw只允許從我的IP地址訪問mongo(IPv6)
- 24. 尋找訪客網絡IP地址
- 25. 阻止訪問您網站的某些特定IP地址
- 26. Docker來自Ip的AWS訪問容器
- 27. 是否有可能限制這裏訪問特定的IP地址的API?
- 28. 指定網絡ip docker
- 29. 將Docker容器連接到網絡接口/設備而不是IP地址
- 30. Apache:限制訪問虛擬主機內部的特定源IP地址
在主機上(在FORWARD鏈中)創建iptables,而不是在Docker容器中。 – larsks 2015-02-09 13:07:58
但是,我如何處理不同的碼頭實例不同的IP? – user1200794 2015-02-09 13:21:43