LINUX.ORG.RU

История изменений

Исправление sanyo1234, (текущая версия) :

Он сам создаёт свою сеть

верно

и средствами nftables/iptables обеспечивает сетевой доступ к этим сервисам.

это отключаемо cat /etc/docker/daemon.json:

{
  "ipv6": false,
  "iptables": false,

IMHO изучения маршрутизации, мостов, iptables / nftables, NAT там принципиально невозможно.

Возможно, очень удобно настраивать iptables с помощью скрипта Firehol:

define_service ssh2 "tcp/xxx tcp/yyy";
define_service mosh "udp/60000:60010";

version 6

HOME_IP="xxx yyy zzz";

# Accept all client traffic on any interface
interface eth0 INET;
        protection strong;
        client all accept;
#       server4 mosh accept;
#       server4 all accept src "$HOME_IP";
        server4 "ssh2 mosh ping" accept src "$HOME_IP";
        server4 "http https" accept;

C_ifaces="docker0 vwbr0 lxcbr0 lxdbr0 br-+ veth+";

interface "$C_ifaces" CONTs;
        protection strong;
        policy accept;
#        client all accept;
#       server all accept;

#===== Docker container utils  -> Docker virtual switch -> SNAT -> external LANs and Internet
router CONTs_NAT inface "$C_ifaces" outface eth0;
        masquerade;
        route all accept;
        client all accept;
        server all accept;

Этот пример настраивает NAT для работы docker и lxd контейнеров.

Исходная версия sanyo1234, :

Он сам создаёт свою сеть

верно

и средствами nftables/iptables обеспечивает сетевой доступ к этим сервисам.

это отключаемо cat /etc/docker/daemon.json:

{
  "ipv6": false,
  "iptables": false,

IMHO изучения маршрутизации, мостов, iptables / nftables, NAT там принципиально невозможно.

Возможно, очень удобно настраивать iptables с помощью скрипта Firehol:

define_service ssh2 "tcp/62453 tcp/62454";
define_service mosh "udp/60000:60010";

version 6

HOME_IP="xxx yyy zzz";

# Accept all client traffic on any interface
interface eth0 INET;
        protection strong;
        client all accept;
#       server4 mosh accept;
#       server4 all accept src "$HOME_IP";
        server4 "ssh2 mosh ping" accept src "$HOME_IP";
        server4 "http https" accept;

C_ifaces="docker0 vwbr0 lxcbr0 lxdbr0 br-+ veth+";

interface "$C_ifaces" CONTs;
        protection strong;
        policy accept;
#        client all accept;
#       server all accept;

#===== Docker container utils  -> Docker virtual switch -> SNAT -> external LANs and Internet
router CONTs_NAT inface "$C_ifaces" outface eth0;
        masquerade;
        route all accept;
        client all accept;
        server all accept;

Этот пример настраивает NAT для работы docker и lxd контейнеров.