我正在尝试构建类似于“Qubes OS Lite”的设置,但在 Arch 上使用 Docker 容器。
Docker 中将运行多个最终用户应用程序(借助https://subuser.org),它们将通过另一个类似设备的容器进行路由,该容器将运行 VPN 和防火墙(即类似于此的设置:https://stackoverflow.com/questions/39913757/restrict-internet-access-docker-container)。
我的问题是如何完全禁用底层 Linux 系统的互联网访问,同时保持面向互联网的 Docker 容器仍然可以访问互联网?
答案1
用一个麦克维兰为您的设备类容器提供网络,完全禁用docker主机上的网络(例如,关闭面向外部的网络接口,删除其IP地址,添加防火墙规则来阻止所有内容等)。