На моем маршрутизаторе OpenWRT запущено специальное приложение брандмауэра. Это приложение динамически управляет правилами iptables и правилами таблиц маршрутизации на основе шаблонов пакетов. Это приложение отлично работает:
- При внедрении в виде пакета внутри прошивки OpenWRT.
- При запуске внутри привилегированного контейнера Lx C.
- При запуске внутри привилегированный Docker контейнер.
Теперь я хочу запустить это внутри непривилегированного контейнера. И я даже не знаю, с чего начать:)
AFAICT, в непривилегированном контейнере сетевое пространство имен является НЕ общим. Тогда любые манипуляции с iptables или правилами маршрутизации ограничиваются контейнером и не передаются хосту. У меня есть следующие вопросы:
- Первая проблема заключается в том, что брандмауэр-приложение перехватывает пакеты на OpenWRT / Host. Есть ли какие-либо средства для пересылки пакетов контейнером с хоста?
- Вторая проблема заключается в передаче / переводе правил iptables из контейнера на хост. Это возможно? Я знаю, что мы можем запустить агент на хосте / OpenWRT, который может использовать UDS (или сокет) для связи с приложением внутри контейнера. Но есть ли другой вариант без внесения изменений в дизайн?
Любые указатели будут полезны. Я открыт для решений как на docker & Lx C.
Заранее спасибо, Укладчики.