我注意到我可以使用网关地址从 docker 容器访问主机docker0。出于安全原因,我想阻止/限制此访问。
我已经使用以下 iptables 规则来阻止容器访问我的本地网络:
iptables -A INPUT -i docker0 -d 192.168.0.0/16 -j DROP
iptables -A FORWARD -i docker0 -d 192.168.0.0/16 -j DROP
在容器内运行curl 192.168.1.1导致超时(正如预期的那样)。
我希望在使用 docker 默认网关访问我的主机系统时实现相同的效果,即curl 172.17.0.1也应该导致超时。
此外,我想阻止除一个端口之外的所有端口。我的主机系统上运行着一个 mysql 服务器(端口 3306),所有容器都应该可以访问它。