web-dev-qa-db-ja.com

Linuxはiptablesなしで特定のIPへの発信トラフィックをブロックします

プログラムはDockerコンテナーで実行されており、iptables -A OUTPUT -d 169.254.169.254 -j DROP引数(共有プラットフォーム)を使用できないため、iptablesを使用できないことを除いて、基本的に次の--privilegedを実行する必要があります。

同じ結果を達成するために使用できるiptablesの代替手段はありますか?

1
jtblin

その特定のIPアドレスにヌルルートを追加することをお勧めします。これにより、アドレスへのすべての通信が不可能になりますが、これにより、必要なことが達成されます。

あなたはこれの例をオンラインで見つけることができます。それらの中の一つ。 http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html

このようなもの

route add -Host IP-ADDRESS reject
3
jcuypers

Dockerは、まさにコンテナーの定義により、ホスト環境からユーザーを隔離しています。 --privilegedまたはリモートAPIインターフェースを介してホストを公開せずにコンテナー内からこれを実行できるものはすべて、コンテナーのセキュリティエクスプロイトである必要があります。

0
BMitch