こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。 動機としてはタイトルに書いた通りSSRF対策を目的としています。 特に内部ネットワーク宛の攻撃を想定し、Dockerコンテナからの private network 宛のoutboundを禁止したい。 でもDockerホスト側ではメールGWなど一部内部NW上のサーバへのoutboundは許可する必要があるので、Dockerコンテナだけに限定したoutboundルールを設定したい・・・そんな状況に対応するにはどうするか調べてみた次第です。 結論から書くと Docker Engine 公式ドキュメントで解説されているとおり
![Dockerのiptablesを有効にしたままSSRF対策をするには - セキュアスカイプラス](https://cdn-ak-scissors.b.st-hatena.com/image/square/f0be2f6df1895bdaedbd6ed73a9b069d1d07d3b8/height=288;version=1;width=512/https%3A%2F%2Fi0.wp.com%2Fsecuresky-plus.com%2Fwp-content%2Fuploads%2F2024%2F04%2Fogp-secureskyplus-1200x630-1.png%3Ffit%3D1200%252C630%26ssl%3D1)