Docker
Limitazione dell'accesso alla rete del contenitore
Ricerca…
Osservazioni
Esempio di reti mobili che bloccano il traffico. Utilizzare come rete all'avvio del contenitore con --net o docker network connect --net .
Blocca l'accesso alla LAN e fuori
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- blocchi
- LAN locale
- Internet
- Non blocca
- Host eseguendo daemon docker (esempio di accesso a
10.0.1.10:22)
- Host eseguendo daemon docker (esempio di accesso a
Blocca l'accesso ad altri contenitori
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- blocchi
- Contenitori che accedono ad altri contenitori sulla stessa rete con
icc-restricted.
- Contenitori che accedono ad altri contenitori sulla stessa rete con
- Non blocca
- Accesso al daemon della docker in esecuzione host
- LAN locale
- Internet
Bloccare l'accesso dai contenitori all'host locale che esegue il daemon della finestra mobile
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- blocchi
- Accesso al daemon della docker in esecuzione host
- Non blocca
- Traffico da container a container
- LAN locale
- Internet
- Reti mobili personalizzate che non utilizzano
docker0
Bloccare l'accesso dai contenitori all'host locale che esegue il daemon docker (rete personalizzata)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Crea una rete chiamata local-host-restricted che quale:
- blocchi
- Accesso al daemon della docker in esecuzione host
- Non blocca
- Traffico da container a container
- LAN locale
- Internet
- Accesso proveniente da altre reti mobili
Le reti personalizzate hanno nomi di bridge come br-15bbe9bb5bf5 , quindi usiamo invece la sua subnet.
Modified text is an extract of the original Stack Overflow Documentation
Autorizzato sotto CC BY-SA 3.0
Non affiliato con Stack Overflow
