在Docker容器中使用iptables时的最小权限的开启方法

/****************************************
* Author : Samson
* Date : 02/25/2016
* Test platform:
* gcc 4.8.4
* GNU bash, 4.3.30
* Linux Mint 17
* **************************************/

Dcoker容器在使用的过程中，有的时候是需要使用在容器中使用iptables进行启动的，默认的docker run时都是以普通方式启动的，没有使用iptables的权限，那么怎样才能在容器中使用iptables呢？要如何开启权限呢？

那么在docker进行run的时候如何将此容器的权限进行配置呢？主要是使用--privileged或--cap-add、--cap-drop来对容器本身的能力的开放或限制。以下将举例来进行说明：

例如：

有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能，可以使用--privileged=true来进行开启，如：

~$ docker run --privileged=true -d -p 4489:4489/tcp  --name bbb aaa

执行以上的命令后，可以进入容器中进行iptables的配置：

~$ docker exec -it cg_open /bin/bash

～#iptables -A INPUT -s 192.168.1.156 -j DROP

/# iptables -nvL                             
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       192.168.1.156        0.0.0.0/0

但是这样的话就将系统的所有能力都开放给了docker容器，这是一种对宿主机非常不安全的做法，例如：可以直接对宿主机中的设备等进行操作。对于iptables需要的权限进行开放，而对于其它的权限不予开放，那么在启动docker的时候使用如下的命令参数进行限制权限的过度开放：

~$ docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp  --name bbb aaa

REF：

https://docs.docker.com/engine/reference/run/   

http://linux.die.net/man/7/capabilities