描述

Iptables 用于建立、维护和检查 Linux 内核中得 IP 包过滤规则表。建议允许 Docker 守护程序自动更改 
Iptables 规则。

安全出发点

如果允许 Docker 守护进程更改 Iptables 的话，Docker 会根据用户为容器选择网络选项的方式自动对 Iptables 
进行必要的更改。建议让 Docker 服务自动更改 Iptables，这样就可以避免可能妨碍容器与外界通信的网络配置错误了
。另外，当每次选择运行容器或者修改网络选项时，可以自动更新 Iptables 的配置。

审计方法

ps -ef | grep dockerd

结果判定

确保 ‘ --iptables ’ 参数不存在，或者 ‘ --iptables=true ’。

修复措施

不要使用 ‘ --iptables = false ’ 参数启动运行 Docker 守护进程。
例如：
dockerd --iptables = false

影响

Docker 守护进程需要在启动之前启用 Iptables 规则。在 Docker 守护进程操作期间任何重新启动 Iptables 都
可能丢失 Docker 创建的规则。可以使用 iptables-persistent 持久 iptables 规则可以帮助减轻这种影响。

默认值

‘--iptables’ 设置为 'true'