Docker
Restreindre l'accès au réseau de conteneurs
Recherche…
Remarques
Exemple de réseau fixe qui bloque le trafic. Utilisez-le comme réseau lors du démarrage du conteneur avec --net ou docker network connect .
Bloquer l'accès au LAN et à la sortie
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- Blocs
- LAN local
- l'Internet
- Ne bloque pas
- Hôte exécutant le démon
10.0.1.10:22(exemple d'accès au10.0.1.10:22)
- Hôte exécutant le démon
Bloquer l'accès à d'autres conteneurs
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- Blocs
- Conteneurs accédant à d'autres conteneurs sur le même réseau
icc-restricted.
- Conteneurs accédant à d'autres conteneurs sur le même réseau
- Ne bloque pas
- Accès à l'hôte exécutant le démon docker
- LAN local
- l'Internet
Bloquer l'accès des conteneurs à l'hôte local exécutant le démon docker
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- Blocs
- Accès à l'hôte exécutant le démon docker
- Ne bloque pas
- Trafic conteneur à conteneur
- LAN local
- l'Internet
- Réseaux de dockers personnalisés n'utilisant pas
docker0
Bloquer l'accès des conteneurs à l'hôte local exécutant le démon docker (réseau personnalisé)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Crée un réseau appelé local-host-restricted auquel:
- Blocs
- Accès à l'hôte exécutant le démon docker
- Ne bloque pas
- Trafic conteneur à conteneur
- LAN local
- l'Internet
- Accès provenant d'autres réseaux de docker
Les réseaux personnalisés ont des noms de pont comme br-15bbe9bb5bf5 , nous utilisons donc son sous-réseau à la place.
Modified text is an extract of the original Stack Overflow Documentation
Sous licence CC BY-SA 3.0
Non affilié à Stack Overflow