Docker Compose 如何限制容器访问外部网络网络安全配置

Docker Compose 如何限制容器访问外部网络网络安全配置

通过将 Docker Compose 网络的 internal 属性设置为 true，可以在 2025 年 11 月 18 日发布的配置指南中确认该方式能完全阻断容器对外部网络的访问，同时保持容器间通信正常。

原因分析

Docker Compose 默认为每个项目自动创建一个桥接网络 (bridge network)，所有服务都会连接到该网络并通过服务名称相互解析，但默认配置下容器可以通过 NAT 与外部网络通信。根据 2024 年 4 月 26 日的技术文档，这种默认行为存在安全隐患，因为容器可能意外调用外部接口传输敏感数据。在默认桥接模式下，Docker 会为每个容器分配私有 IP 地址（如 172.17.0.2），并通过网络地址转换与外部网络通信，这可能导致数据泄露风险。

解决方案

方法一：使用 internal 网络参数（推荐）

在 docker-compose.yml 中定义自定义网络并设置 internal 为 true，根据 2026 年 1 月 6 日的 Docker Compose 最佳实践，这是最安全的方案：

version: '3.8'
services:web:image: nginxnetworks:- internal_netapp:image: my-node-appnetworks:- internal_net
networks:internal_net:driver: bridgeinternal: true

internal 属性设为 true 时禁止容器访问外部网络，但容器之间仍可通过服务名称通信。

方法二：使用 iptables 防火墙规则

在宿主机上配置 iptables 规则限制特定子网的出站流量，根据 2025 年 4 月 16 日的防火墙配置教程：

docker network create --subnet=172.18.0.0/16 mynet
iptables -I FORWARD -s 172.18.0.0/16 -j DROP

此方法适用于需要更精细控制的场景，但规则在 Docker 重启后可能丢失，需使用 iptables-save > /etc/iptables/rules.v4 持久化。

方法三：修改容器路由表

根据 2023 年 12 月 15 日的技术方案，在容器内删除默认路由：

docker run -it ubuntu bash
ip route del default

此方法简单但需要在容器启动时自动执行，可能需要--privileged 标志，适用于临时测试环境。

注意事项

根据 2023 年 10 月 5 日的用户实践反馈，仅设置 DNS 为不可用地址无法完全禁止外网访问，因为程序可通过 IP 地址直接访问资源。2024 年 1 月 2 日的教程指出，使用代理容器配合 iptables 规则（iptables -A OUTPUT -d 0.0.0.0/0 -j DROP）可实现更严格的控制。2025 年 10 月 29 日的资料提醒，在 DOCKER-USER 链中添加规则时需使用-I 参数插入到链的最前面，否则可能被 Docker 自动生成的规则覆盖。对于数据库服务，2025 年 11 月 20 日的多网络配置建议将其仅接入内部后端网络，拒绝来自外部的直接访问。

参考来源

来源：CSDN 博客 - Docker Compose 网络配置十大最佳实践 (2026 年 1 月 6 日)

来源：技术教程网站 - docker 容器内无法访问外网操作步骤 (2024 年 4 月 26 日)

来源：网络安全文档 - 如何在 Docker 中使用防火墙规则限制容器网络的外部访问 (2025 年 4 月 16 日)

来源：Docker 实践社区 - 一个参数搞定 Docker 禁止单个容器访问外网 (2023 年 10 月 5 日)

原文链接：https://www.zjcp.cc/ask/9809.html