禁止容器访问外网 - 玄凌子知识库

假设docker的虚拟网卡docker0的网段是192.168.123.0/24，通过iptables向DOCKER-USER链添加规则：

iptables --insert DOCKER-USER -s 192.168.123.0/24 -j REJECT
iptables --insert DOCKER-USER -s 192.168.123.0/24 -m state --state RELATED,ESTABLISHED -j RETURN

此时容器与容器间、容器与主机间为同一网段192.168.123.0/24，所以依然能互相正常通信，但是docker0已无法访问到其他网段，不能够路由到其他地址。

Keys	Action
`?`	Open this help
`n`	Next page
`p`	Previous page
`s`	Search