我基本上需要运行以下命令iptables -A OUTPUT -d 169.254.169.254 -j DROP
,但我无法使用,iptables
因为该程序正在 docker 容器中运行,我无法使用该--privileged
参数(共享平台)。
有没有 iptables 的替代品可以用来达到相同的结果?
答案1
您可能想要为该特定 IP 地址添加一个空路由。尽管这会导致与该地址的所有通信都无法进行,但这可以满足您的需要。
您可以在网上找到这方面的示例。其中之一。http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
像这样
route add -host IP-ADDRESS reject
答案2
从容器的定义来看,Docker 就是将您与主机环境隔离开来。任何允许您在容器内执行此操作而无需通过--privileged
或某些远程 API 接口暴露主机的操作都应该是容器的安全漏洞。