В качестве док-контейнера я запускаю (tor) маршрутизатор на 172.18.0. 2 .
Чтобы иметь возможность маршрутизировать трафик через него, я создаю и подключаю сеть следующим образом:
docker network create --internal=false tor && docker network connect tor tor-router
Это создает устройство br-12345678 с IP 172.18.0. 1 .
Для маршрутизации через tor я настраиваю его IP 172.18.0. 2 в качестве шлюза по умолчанию.
Теперь пользователь может случайно настроить 172.18.0. 1 (IP-адрес моста). Это также делает доступ к Интернету, поскольку мост, в свою очередь, направляет вас обратно через сеть хост-систем.
Проблема в том, что таким образом, трафик переходит на clearnet .
Каков наилучший способ заблокировать это от докера?
Примечания:
- Я знаю, что мог бы использовать iptables для занесения в черный список этого трафика, но я ищу подход белого списка, исключительно разрешающий трафик на маршрутизаторе tor (или даже форсирующий его там).
- Если я переключусь на
--internal=true, машины, подключенные к устройству br-12345678 извне, не смогут проходить через него. Так что это не работает.
- Интересно, может ли опция
--ingress быть связана с тем, что я ищу?