iptables не работает с трафиком macvlan в контейнере

Question

У меня есть хост с одним интерфейсом eth0, IP 10.0.10.10/24. Я запускаю докер, добавляю контейнер, нет сети. Затем я создаю устройство macvlan на eth0, даю ему IP 10.0.10.20/24 и помещаю его в контейнер.

Как хост, так и контейнер теперь имеют полный доступ к сети.

Затем я создаю правило iptables на хосте, чтобы удалить весь трафик на IP-адрес или с IP-адреса контейнера 10.0.10.20. Правила не работают, и трафик проходит.

Конечно, если я делаю это из контейнера (ip netns exec $PID iptables ... или предоставив контейнер NET_ADMIN возможностей), он работает.

Должны ли правила iptables основного хоста не фильтровать трафик?

Answer 1

Ответ на этот вопрос: вы не можете этого сделать. При использовании моста трафик запускается на хост и выходит, поэтому он попадает в стек ip-узла хоста. Когда вы используете macvlan, единственный ip-стек является единственным в контейнере, поэтому правила iptables на хосте никогда не вызываются.

Единственный способ сделать это - изменить правила iptables внутри контейнер.

Если вы не хотите предоставлять доступ к контейнеру, например. если вы хотите управлять контейнером, используйте ip netns exec ... из самого хоста, который будет контролировать правила iptables в контейнере, не давая самому контейнеру контроль.

Я написал сценарий, который делает это. Он доступен по адресу https://github.com/deitch/ctables и имеет лицензию MIT.