我试图通过在另一个docker容器中运行的mitmproxy路由docker容器的所有流量。为了使mitmproxy工作,我必须更改原始docker容器的网关IP。
这是我想做的一个例子,但我想把它完全限制在docker容器内。
有什么想法,我可能能够做到这一点吗?另外,我想避免在特权模式下运行两个docker容器中的任何一个。
授予容器的默认能力集不允许容器修改网络设置。通过在特权模式下运行,您可以向容器授予所有功能——但是也可以根据需要授予单个功能。在本例中,您需要的是CAP_NET_ADMIN(完整列表在这里:http://man7.org/linux/man-pages/man7/capabilities.7.html),因此您可以将--cap-add NET_ADMIN添加到您的docker运行命令中。
确保在启动两个容器时使用该选项,因为它们都需要一些网络调整来启用透明数据包拦截。
在"proxy"容器中,根据mitmproxy透明模式指令配置iptables预路由NAT规则,然后启动mitmproxy(使用-T标志启用透明模式)。我使用一个小的启动脚本作为代理映像的入口点,因为网络设置更改仅在容器运行时发生,不能在Dockerfile中指定或以其他方式持久化。
在"client"容器中,只需使用ip route命令将默认网关更改为docker桥上代理容器的IP地址。如果您将经常重复这种设置,请考虑在客户机映像上使用一个入口点脚本,它将在容器启动时自动为您进行设置。容器链接使这更容易:您可以启动代理容器,并在启动客户端容器时链接它。然后,客户机入口点脚本可以通过环境变量访问代理容器的IP。