在Docker容器中使用iptables时的最小权限的开启方法
在Docker容器中使用iptables时的最小权限的开启方法
Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的dockerrun时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢?
那么在docker进行run的时候如何将此容器的权限进行配置呢?主要是使用--privileged或--cap-add、--cap-drop来对容器本身的能力的开放或限制。以下将举例来进行说明:
例如:
有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用--privileged=true来进行开启,如:
~$dockerrun--privileged=true-d-p4489:4489/tcp--namebbbaaa
执行以上的命令后,可以进入容器中进行iptables的配置:
~$dockerexec-itcg_openvpn/bin/bash ~#iptables-AINPUT-s192.168.1.156-jDROP /#iptables-nvL ChainINPUT(policyACCEPT0packets,0bytes) pktsbytestargetprotoptinoutsourcedestination 00DROPall--**192.168.1.1560.0.0.0/0
但是这样的话就将系统的所有能力都开放给了docker容器,这是一种对宿主机非常不安全的做法,例如:可以直接对宿主机中的设备等进行操作。对于iptables需要的权限进行开放,而对于其它的权限不予开放,那么在启动docker的时候使用如下的命令参数进行限制权限的过度开放:
~$dockerrun--cap-addNET_ADMIN--cap-addNET_RAW-d-p4489:4489/tcp--namebbbaaa
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
热门推荐
10 对患者生日祝福语简短
11 结婚祝福语简短装备
12 周岁祝福语学生文案简短
13 订婚领证祝福语简短精辟
14 导师获奖祝福语大全简短
15 新婚购房祝福语简短精辟
16 牛年祝福语简短的爱人
17 送芒果的祝福语简短
18 送给学长毕业祝福语简短