Docker
Begränsa åtkomst till behållarnätverk
Sök…
Anmärkningar
Exempel på dockningsnätverk som blockerar trafik. Använd som nätverk när du startar behållaren med - --net eller docker network connect .
Blockera åtkomst till LAN och ut
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- Blocks
- Lokalt LAN
- Internet
- Blockerar inte
- Värd för docker-demon (exempelvis åtkomst till
10.0.1.10:22)
- Värd för docker-demon (exempelvis åtkomst till
Blockera åtkomst till andra containrar
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- Blocks
- Behållare som får åtkomst till andra containrar i samma
icc-restrictednätverk.
- Behållare som får åtkomst till andra containrar i samma
- Blockerar inte
- Tillgång till värd som kör dockningsdemon
- Lokalt LAN
- Internet
Blockera åtkomst från containrar till den lokala värden som kör dockningsdemon
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- Blocks
- Tillgång till värd som kör dockningsdemon
- Blockerar inte
- Behållare till containertrafik
- Lokalt LAN
- Internet
- Anpassade dockningsnätverk som inte använder
docker0
Blockera åtkomst från containrar till den lokala värden som kör docker-daemon (anpassat nätverk)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Skapar ett nätverk som kallas local-host-restricted vilket som:
- Blocks
- Tillgång till värd som kör dockningsdemon
- Blockerar inte
- Behållare till containertrafik
- Lokalt LAN
- Internet
- Tillgång härrörande från andra dockningsnätverk
Anpassade nätverk har bridge-namn som br-15bbe9bb5bf5 , så vi använder br-15bbe9bb5bf5 subnät istället.
Modified text is an extract of the original Stack Overflow Documentation
Licensierat under CC BY-SA 3.0
Inte anslutet till Stack Overflow