Sto eseguendo l'host Gentoo con il contenitore Ubuntu in Docker. Comunicano tramite bridge creato automaticamente da Docker. Vorrei eliminare tutto il traffico per 192.168.0.0/16 che potrebbe uscire dal contenitore.Disabilitare l'accesso alla LAN dal contenitore docker
$sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
$sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.17.0.2:443
Per favore fatemi sapere se ho bisogno di fornire informazioni aggiuntive
iptables non ha alcun effetto (presupponendo -o docker0). --icc = false come capisco impedisce le comunicazioni intercontainer, ma non con l'host. Ad ogni modo, continuo a ricevere ping all'interno di docker exec -t -i cont1/bin/bash –
scusate ho corretto la regola di iptables – DRC
Grazie, bel effetto. Non riesco a eseguire il ping dell'host, ma posso eseguire il ping di altre macchine fisiche nella rete. Presumo che l'inoltro funzioni –