我有一个应用程序执行绑定(0),因此可以绑定到任何本地端口。
这与我正在设置默认丢弃安全策略的推动基本上是不兼容的。 使用该绑定(0),所有端口都是有效的可能性。 更改绑定系统调用不是一个选项。
除了容器化之外,我认为唯一的方法就是在特殊的networking命名空间内运行这个过程。 在一个专用的networking命名空间中,它可以绑定到任何想要的,但在该命名空间的外部可能有一个可见的固定范围。 我需要一个NAT(负载平衡器?)层来将外部转换为内部。
像这样的DefaultNamespace:11.11.11.11:6000-6005到AppNamespace:172.16.0.1:1-65535。
我一直在想这个好一个小时,而我只是不确定iptables规则是否需要指向veth接口才能真正做到这一点。