我想在 Docker 容器内运行一个我不信任的应用程序。为了将风险降至最低,我希望这个容器只能访问一个 IP 地址(用于接收和发送消息)。这样,该应用程序就无法开始扫描我的网络、联系外界或被我网络中的其他应用程序联系。
因此,假设容器在 IP 192.168.0.10 上运行(使用 macvlan),而我将用来访问它的计算机在 IP 192.168.0.20 上运行。我希望 192.168.0.10 只能访问 192.168.0.20。为了实现最大安全性,唯一需要打开的端口是 5000/UDP。
我猜这需要在 Dockerfile 中配置 iptables(按照提到的这里),但我不知道如何设置。有什么想法吗?