<div dir="ltr">I tried net_cls but after creating a classid I couldnt proceed further with iptables ( I dont have tc in my target, so Iam telling iptables to filter for me. )<div><br></div><div><div># echo 0x100001 > /sys/fs/cgroup/net_cls/0/net_cls.classid </div>
<div># cat /sys/fs/cgroup/net_cls/0/net_cls.classid</div><div>1048577</div></div><div><br></div><div><div># <span id="mySelectedSpan"><span class="">iptables -t filter  -A OUTPUT -m cgroup ! --cgroup 0x100001 -j DROP</span></span></div>
<div>iptables: No chain/target/match by that name.</div></div><div><div><br></div><div># iptables -A OUTPUT -m cgroup ! --cgroup 0x100001 -j DROP</div><div>iptables: No chain/target/match by that name.</div></div><div><br>
</div><div><br></div><div>Thanks.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 4, 2014 at 2:19 PM, Stéphane Graber <span dir="ltr"><<a href="mailto:stgraber@ubuntu.com" target="_blank">stgraber@ubuntu.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Wed, Jun 04, 2014 at 02:14:30PM -0700, Vijay Viswanathan wrote:<br>
> Hi,<br>
> What is the best way to implement a firewall in a container ?<br>
> Currently, Iam thinking of associating an interface ( lets say veth21) to a<br>
> container and apply iptable rules on that interface.<br>
> veth21 will be bridged to host interface.<br>
<br>
</div>You can indeed do that, or just do iptables in the container or if you<br>
have the net_cls cgroup enabled in your kernel, set net_cls.classid so<br>
that all packets coming from processes running in the container are<br>
automatically tagged for processing in netfilter (see<br>
<a href="https://www.kernel.org/doc/Documentation/cgroups/net_cls.txt" target="_blank">https://www.kernel.org/doc/Documentation/cgroups/net_cls.txt</a>).<br>
<div class=""><br>
><br>
> This way I can filter traffic going in/out host network.<br>
><br>
> Please comment.<br>
><br>
> Thx.<br>
<br>
</div>> _______________________________________________<br>
> lxc-users mailing list<br>
> <a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.linuxcontainers.org</a><br>
> <a href="http://lists.linuxcontainers.org/listinfo/lxc-users" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Stéphane Graber<br>
Ubuntu developer<br>
<a href="http://www.ubuntu.com" target="_blank">http://www.ubuntu.com</a><br>
</font></span><br>_______________________________________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br></blockquote></div><br></div>