我正在使用此处记录的 docker 链 https://docs.docker.com/network/iptables/ 来阻止来自公共接口的传入流量,但来自一个 IP 的除外。
iptables -I DOCKER-USER -i eno1 ! -s X.X.X.X -j DROP
这样做的副作用是,从容器到世界其他地方的出站流量也会被丢弃。如何使用 DOCKER-USER 链或类似方法阻止传入并允许传出?
答案 0 :(得分:0)
嗯,我发现了一些对我有用的东西。这是许多其他答案的组合不起作用...
iptables -I DOCKER-USER -i eno1 ! -s X.X.X.X -m conntrack --ctorigdstport 25562:25570 --ctdir ORIGINAL -j DROP