iptables에서 PREROUTING을 사용하여 패킷 삭제

필터 테이블이 패킷을 삭제하기에 가장 좋은 장소라는 데 동의했습니다.

그러나 기본적으로 Docker는 PREROUTING을 통해 자체 FORWARD 규칙으로 INPUT 필터링 규칙을 우회하여 Docker 컨테이너를 전 세계적으로 액세스할 수 있도록 합니다. 끼워 넣다도커명명된 필터 INPUT/FORWARD 규칙은 Docker가 다시 시작될 때 제거된 다음 삽입(추가되지 않음)되기 때문에 실패합니다.

나의 최선의 시도는 Docker 앞에 또 다른 PREROUTING 체인을 삽입하고 eth0(WAN)에서 블랙홀로 원치 않는 패킷을 보내는 것이었습니다.0.0.0.1- 더 이상 nat 테이블에서 DROP/REJECT를 수행할 수 없기 때문입니다.

# Route anything but TCP 80,443 and ICMP to an IPv4 black hole
iptables -t nat -N BLACKHOLE
iptables -t nat -A BLACKHOLE ! -i eth0 -j RETURN
iptables -t nat -A BLACKHOLE -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
iptables -t nat -A BLACKHOLE -p tcp --dport 80 -j RETURN
iptables -t nat -A BLACKHOLE -p tcp --dport 443 -j RETURN
iptables -t nat -A BLACKHOLE -p icmp -j RETURN
iptables -t nat -A BLACKHOLE -p all -j DNAT --to 0.0.0.1
iptables -t nat -I PREROUTING -m addrtype --dst-type LOCAL -j BLACKHOLE

Docker 및 실행 중인 컨테이너가 포함된 NAT 체인의 모습은 다음과 같습니다.

이것은 잘 작동하는 것 같습니다. 그러나 다른 사전 라우팅 규칙에 도달하기 전에 패킷을 명시적으로 거부할 수 있는 방법이 있습니까?

(알파인 리눅스 3.6.2, Docker v17.05.0-ce)