我基本上需要运行以下iptables -A OUTPUT -d 169.254.169.254 -j DROP除了我不能使用iptables因为程序运行在docker容器中,我不能使用--privileged参数(共享平台)。
是否有替代iptables,我可以用来实现相同的结果?
您可能要为该特定的IP地址添加一个空路由。 虽然,这使得所有的通信都不可能,这就完成了你所需要的。
你可以在网上find这个例子。 其中之一。 http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
像这样的东西
route add -host IP-ADDRESS reject
根据容器的定义,Docker正在将你与主机环境隔离开来。 任何可以让你在容器内部做到这一点,而不通过 – --privileged或一些远程API接口暴露主机应该是容器的安全漏洞。