如何将源IP转发到Docker容器而不让Docker与iptables混淆

如果你在一个Docker容器中运行一些东西(例如nginx),并将其中一个暴露的端口发布到外部世界(比如docker run -p 80:80 nginx ),那么Doc​​ker将会

  • 把这个港口暴露给公众
  • 设置iptables,以便如果通过Docker网桥(NAT)连接到容器,则nginx将仍然知道正确的源IP
  • ! 彻底打开防火墙到那个端口

我不想让任何人连接到已发布的端口,但是Docker混淆了这个问题。 所以我用--iptables=false重新启动了Docker守护进程,允许我自己pipe理防火墙。 但是,nginx现在只能看到网桥(172.18.0.1)作为源地址。

我如何控制防火墙,并将源IP地址转发到容器?

    Interesting Posts

    docker工人:如何轻松获得veth桥接口对?

    docker0桥如何在主机内部工作?

    来自守护程序的错误响应:找不到网桥

    如何在创builddocker机器或容器时设置特定(固定)的IP地址?

    Docker:如何连接两座桥

    在CentOS上搭build桥接networking的Docker

    docker集装箱不能访问互联网