プログラムはDockerコンテナーで実行されており、iptables -A OUTPUT -d 169.254.169.254 -j DROP
引数(共有プラットフォーム)を使用できないため、iptables
を使用できないことを除いて、基本的に次の--privileged
を実行する必要があります。
同じ結果を達成するために使用できるiptablesの代替手段はありますか?
その特定のIPアドレスにヌルルートを追加することをお勧めします。これにより、アドレスへのすべての通信が不可能になりますが、これにより、必要なことが達成されます。
あなたはこれの例をオンラインで見つけることができます。それらの中の一つ。 http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
このようなもの
route add -Host IP-ADDRESS reject
Dockerは、まさにコンテナーの定義により、ホスト環境からユーザーを隔離しています。 --privileged
またはリモートAPIインターフェースを介してホストを公開せずにコンテナー内からこれを実行できるものはすべて、コンテナーのセキュリティエクスプロイトである必要があります。