禁止Docker容器访问外网

禁止Docker容器访问外网——用于实现类似于虚拟机的Host-only模式

假设docker的虚拟网卡docker0的网段是192.168.123.0/24,通过iptablesDOCKER-USER链添加规则:

iptables --insert DOCKER-USER -s 192.168.123.0/24 -j REJECT
iptables --insert DOCKER-USER -s 192.168.123.0/24 -m state --state RELATED,ESTABLISHED -j RETURN

此时容器与容器间、容器与主机间为同一网段192.168.123.0/24,所以依然能互相正常通信,但是docker0已无法访问到其他网段,不能够路由到其他地址。

你可能感兴趣的:(docker,iptables,安全,安全漏洞)