主机使用iptables对docker容器内部进行操作

1. 如果是比较简单的只是想执行命令行实现容器到外部的映射，就比较简单了。

       例： iptables -t nat -A PREROUTING -p tcp -m tcp --dport 4446

                -j DNAT --to-destination 172.17.0.2:4443

        命令行实在主机里面执行。

        把容器里面的4446映射到主机ip上的4443。

        172.17.0.2 是容器的ip地址。

2.如果你需要使用内部的iptables的话，docker容器里面又不存在iptables的时候，可以使用宿主机上面的iptables进行操作，通过网络命名空间进入容器内部处理。

        -1. 先找到docker容器ID

        -2. docker inspect container_id/name   #获取所有的信息，获取里面的status.PID，

        -3. nsenter -n -t 容器的PID

        -4. 然后 执行一下ip addr 看下是否进入到容器的网路命名空间了。(看看是不是容器的ip。)

        -5. 如果是的话 应该就可以使用ptabels命令了。

        应该不只是iptables。进入到网络的命名空间之后，应该是可以是使用宿主机所有的已经安装的包，来完成对容器的操作。猜想是这样，目前只是使用了iptables。其他的没有测试。