Docker
Restricción del acceso a la red de contenedores
Buscar..
Observaciones
Ejemplo de redes docker que bloquean el tráfico. Utilícelo como la red cuando inicie el contenedor con --net o con la docker network connect --net .
Bloquear el acceso a LAN y salir
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- Bloques
- LAN local
- Internet
- No bloquea
- Host que ejecuta el daemon docker (ejemplo de acceso a
10.0.1.10:22)
- Host que ejecuta el daemon docker (ejemplo de acceso a
Bloquear el acceso a otros contenedores.
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- Bloques
- Contenedores que acceden a otros contenedores en la misma red
icc-restricted.
- Contenedores que acceden a otros contenedores en la misma red
- No bloquea
- Acceso al host ejecutando el demonio docker.
- LAN local
- Internet
Bloquee el acceso de los contenedores al host local que ejecuta el demonio docker
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- Bloques
- Acceso al host ejecutando el demonio docker.
- No bloquea
- Tráfico de contenedor a contenedor
- LAN local
- Internet
- Redes docker personalizadas que no usan
docker0
Bloquee el acceso de los contenedores al host local que ejecuta el daemon docker (red personalizada)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Crea una red llamada local-host-restricted que:
- Bloques
- Acceso al host ejecutando el demonio docker.
- No bloquea
- Tráfico de contenedor a contenedor
- LAN local
- Internet
- Acceso originado desde otras redes docker.
Las redes personalizadas tienen nombres de puente como br-15bbe9bb5bf5 , así que en su lugar usamos subred.
Modified text is an extract of the original Stack Overflow Documentation
Licenciado bajo CC BY-SA 3.0
No afiliado a Stack Overflow