我倾向于使用主机 iptables 来限制与 Docker 守护进程的连接
https://docs.docker.com/network/iptables/#restrict-connections-to-the-docker-daemon
给出的例子是
$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP
我想知道,
ext_if
的值应该是多少,以及如何计算出ext_if
的值?
这对我来说效果很好
iptables -I DOCKER-USER -i eth0 -p tcp --dport 5555 -j DROP
但是,我不确定获得
eth0
的正确步骤。这只是我的尝试和错误方法。
ext_if 是外部接口,例如:eth0、wlan0。您可以通过以下方式在 Debian 发行版中找到它:
ip addr
或
ip link show
iptables -I DOCKER-USER -i eth0 ! -s 192.168.0.0/24 -j DROP
iptables -I DOCKER-USER -i wlan0 ! -s 192.168.0.0/24 -j DROP
如果 eth0 (LAN) 和 wlan0 (WiFi) 接口与网络 192.168.0.0/24 不匹配,此规则将丢弃 eth0 (LAN) 和 wlan0 (WiFi) 接口上的所有流量。谢谢 ”!”仅考虑来自该网络的流量。您可以通过
查看
sudo iptables --list DOCKER-USER -n --line
num target prot opt source destination
1 DROP 0 -- !192.168.0.0/24 0.0.0.0/0
2 DROP 0 -- !192.168.0.0/24 0.0.0.0/0
3 RETURN 0 -- 0.0.0.0/0 0.0.0.0/0