Как отрубить интернет контейнеру?

Question

[Иван]

Что-то никак не могу понять как отрубить интернет ОДНОМУ из контейнеров (Linux). Т. е. чтобы нельзя было приложению в контейнере ничего загрузить из интернета или отправить какие-нибудь данные. При этом обязательно должна сохраниться возможность общаться с хостом и другими контейнерами.

В гугле нашел лишь совет отрубить ip forwarding (echo 0 > /proc/sys/net/ipv4/ip_forward), но он не подходит, т. к. отрубит от инета ВСЕ контейнеры.

Answer 1

[chupasaurus]

docker create network --internal no-internets, сделайте единственной сетью для изолируемого контейнера, добавьте эту сеть вместе с уже используемой для остальных.

Comments

[Иван]

А как теперь добраться к этому контейнеру с хоста?

Запускаю:

docker run --rm -it -p 222:22 --net=noinet test2 bash

Пытаюсь обратиться к нему с хоста: ssh -p 222 root@127.0.0.1 bash
Получаю:

ssh: connect to host 127.0.0.1 port 222: Connection refused

[chupasaurus]

Иван, у вас sshd в контейнере запущен? А вообще не надо так, для запуска шелла внутри контейнера есть docker exec -it ctr_name bash.

[Иван]

chupasaurus, про exec я конечно знаю. При помощи ssh я проверял доступность контейнера с хоста "по сети".
Задача стоит такая: в контейнере есть приложение, которое не должно иметь доступа в интернет, но должно думать, что имеет (т. е. может посылать данные хосту и получать команды через подобие rest api от него и возможно других контейнеров).