NAT分为DNAT和SNAT,更多看:
http://blog.daocloud.io/docker-bridge/
默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。
1,container -- > outside
容器所有到外部网络的连接,源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。
$ sudo iptables -t nat -nL
[sudo] password for uta:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。
1,container -- > outside
容器所有到外部网络的连接,源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。
$ sudo iptables -t nat -nL
[sudo] password for uta:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination