在Docker容器中使用iptables時的最小權限的開啟方法

Dcoker容器在使用的過程中，有的時候是需要使用在容器中使用iptables進行啟動的，默認的docker run時都是以普通方式啟動的，沒有使用iptables的權限，那么怎樣才能在容器中使用iptables呢？要如何開啟權限呢？

那么在docker進行run的時候如何將此容器的權限進行配置呢？主要是使用--privileged或--cap-add、--cap-drop來對容器本身的能力的開放或限制。以下將舉例來進行說明：

例如：

有一個image為aaa的將啟動為容器名為bbb的且在容器內需要使用iptables功能，可以使用--privileged=true來進行開啟，如：

~$ docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa

執行以上的命令后，可以進入容器中進行iptables的配置：

~$ docker exec -it cg_openvpn /bin/bash～#iptables -A INPUT -s 192.168.1.156 -j DROP/# iptables -nvL               Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target   prot opt in   out   source        destination       0   0 DROP    all -- *   *    192.168.1.156    0.0.0.0/0

但是這樣的話就將系統的所有能力都開放給了docker容器，這是一種對宿主機非常不安全的做法，例如：可以直接對宿主機中的設備等進行操作。對于iptables需要的權限進行開放，而對于其它的權限不予開放，那么在啟動docker的時候使用如下的命令參數進行限制權限的過度開放：

~$ docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp --name bbb aaa

感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！