Linux网络命名空间提供独立网络协议栈,实现容器网络隔离;需配合veth对、IP转发控制、iptables策略及运行时配置(如--network none)才能达成最小权限安全模型。
Linux网络命名空间(network namespace)是实现容器网络隔离的核心机制,它为每个命名空间提供独立的网络协议栈——包括网络接口、IP地址、路由表、iptables规则、套接字等。这种内核级隔离能力,使容器间默认无法直接通信,天然支撑零信任网络模型,是网络加固的基础。
创建并进入独立网络命名空间
使用 ip netns 命令可快速管理命名空间:
- ip netns add ns1:创建名为 ns1 的网络命名空间
- ip netns exec ns1 ip link show:在 ns1 中执行命令,查看其专属网络设备(初始仅 lo)
- ip netns list:列出所有持久化命名空间(需配合 ip netns add 或挂载到 /var/run/netns/)
注意:默认创建的命名空间不持久,进程退出后即销毁;如需长期存在,建议用 unshare --net --mount-proc 启动 shell,或手动绑定到文件系统。
配置虚拟以太网对(veth pair)打通隔离网络
单靠命名空间无法通信,需通过 veth 设备连接不同命名空间或宿主机:
- ip link add veth0 type veth peer name veth1:创建一对虚拟网卡
- ip link set veth1 netns ns1:将 veth1 移入 ns1
- 分别配置两端 IP:ip addr add 192.168.100.1/24 dev veth0 和 ip netns exec ns1 ip addr add 192.168.100.2/24 dev veth1
- 启用接口:ip link set veth0 up 和 ip netns exec ns1 ip link set veth1 up
此时 ns1 可与宿主机互通,但默认仍无法访问外网——需开启宿主机 IP 转发并配置 SNAT 或桥接。
强化隔离:禁用跨命名空间路由与强制流量管控
仅靠命名空间和 veth 不足以防横向移动,需叠加策略加固:
- 在宿主机关闭 IP 转发:sysctl -w net.ipv4.ip_forward=0(除非明确需要 NAT)
- 在各命名空间内清空默认路由:ip netns exec ns1 ip route flush table main,仅保留必要路由
- 使用 iptables -t raw -A PREROUTING -i veth0 -j DROP 等规则,在宿主机侧拦截非法入向流量
- 为容器进程绑定特定命名空间:unshare --user --net --pid --fork --mount-proc=/proc ./app,避免共享内核视图
关键点:不要依赖“命名空间存在即安全”,必须显式控制接口启停、路由注入和防火墙策略。
与容器运行时协同实现最小权限网络
Docker、Podman 等默认使用 network namespace,但常启用 bridge 模式带来隐式互联风险。生产环境建议:
- 启动容器时指定 --network none,完全禁用默认网络,再按需添加 veth 或 macvlan
- 使用 macvlan 或 ipvlan 直接暴露物理网卡子接口,绕过宿主机转发,降低攻击面
- 结合 cgroups v2 的 net_cls 和 net_prio 子系统,对命名空间内流量限速、标记优先级
- 通过 seccomp 和 capabilities 禁用容器内 NET_ADMIN,防止逃逸后篡改网络配置
真正的网络加固不是“连得上”,而是“只连该连的、只通该通的、只被该被的连”。命名空间提供隔离边界,策略决定安全水位。
