Мне в основном нужно запустить следующий iptables -A OUTPUT -d 169.254.169.254 -j DROP
, за исключением того, что я не могу использовать iptables
, потому что программа работает в контейнере докеров, и я не могу использовать аргумент - привилегированный
(общая платформа).
Есть ли альтернатива iptables, которую я мог бы использовать для достижения того же результата?
Вы можете добавить нулевой маршрут для этого конкретного IP-адреса. Хотя это делает невозможным ВСЕ обмен данными с адресом, это делает то, что вам нужно.
Вы можете найти примеры этого в Интернете. один из них. http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
Примерно так
route add -host IP-ADDRESS reject
Docker, по самому определению контейнера, изолирует вас от среды хоста. Все, что позволяет вам делать это из контейнера, не открывая хост через - привилегированный
или какой-либо удаленный интерфейс API, должно быть уязвимостью безопасности контейнера.