Docker
Beschränkung des Netzwerkzugriffs auf Container

Bemerkungen

Blockieren Sie den Zugriff auf LAN und Out

docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted

• Blöcke
  • Lokales LAN
  • Internet
• Blockiert nicht
  • Host, der einen Docker-Daemon 10.0.1.10:22 (Beispielzugriff auf 10.0.1.10:22 )

Zugriff auf andere Container blockieren

docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted

• Blöcke
  • Container, die auf andere Container im selben icc-restricted Netzwerk zugreifen.
• Blockiert nicht
  • Zugriff auf den Host, der einen Docker-Daemon ausführt
  • Lokales LAN
  • Internet

Blockieren Sie den Zugriff von Containern auf den lokalen Host, der den Docker-Daemon ausführt

iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP

• Blöcke
  • Zugriff auf den Host, der einen Docker-Daemon ausführt
• Blockiert nicht
  • Container zu Containerverkehr
  • Lokales LAN
  • Internet
  • Benutzerdefinierte Docker-Netzwerke, die docker0 nicht verwenden

Zugriff von Containern auf den lokalen Host blockieren, auf dem der Docker-Daemon ausgeführt wird (benutzerdefiniertes Netzwerk)

docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP

Erzeugt ein Netzwerk mit dem Namen " local-host-restricted , das:

• Blöcke
  • Zugriff auf den Host, der einen Docker-Daemon ausführt
• Blockiert nicht
  • Container zu Containerverkehr
  • Lokales LAN
  • Internet
  • Zugriff von anderen Docker-Netzwerken aus

Benutzerdefinierte Netzwerke haben Brückennamen wie br-15bbe9bb5bf5 , daher verwenden wir stattdessen das Subnetz.