Skip to main content

Docker - Block incoming or outging traffic via iptables

Datenverkehr zu einem Docker Container wird trotz entsprechender Firewall-Freischaltungen zum Container hindurch gelangen, da die entsprechenden ALLOW Regeln noch vor den Firewall-Regeln des eigentlichen Hosts greifen.

Die Lösung ist, die DENY Regeln in eine dafür vorgesehene DOCKER-USER iptables-chain zu packen:

Block traffic from (-s) and to (-d) 177.10.172.0/22 and 201.55.198.0/23.

sudo iptables -I DOCKER-USER -s 177.10.172.0/22 -j DROP
sudo iptables -I DOCKER-USER -d 177.10.172.0/22 -j DROP
sudo iptables -I DOCKER-USER -s 201.55.198.0/23 -j DROP
sudo iptables -I DOCKER-USER -d 201.55.198.0/23 -j DROP

Check if applied.

sudo iptables -L -n

image.png

Remove.

sudo iptables -D DOCKER-USER -s 177.10.172.0/22 -j DROP
sudo iptables -D DOCKER-USER -d 177.10.172.0/22 -j DROP
sudo iptables -D DOCKER-USER -s 201.55.198.0/23 -j DROP
sudo iptables -D DOCKER-USER -d 201.55.198.0/23 -j DROP