Caixa de encaixe Sandbox

Configuramos um bloco de notas jupyter ( link ) em um contêiner docker.

A ideia é que os usuários se conectem ao jupyter a partir de um navegador da web em seus computadores pessoais e, em seguida, possam analisar os dados fornecidos pelos postgres em execução no host do container.

Isso funciona até agora, usamos o mapeamento de portas dos estivadores e os usuários podem direcionar o navegador para link e o bloco de anotações é aberto.

Para controlar o acesso ao host e evitar o vazamento de dados para o mundo externo, queremos restringir a configuração da rede para que:

O
• mundo exterior pode se conectar ao link que é encaminhado para a porta 8080 do contêiner em execução
• de dentro da conexão do contêiner à porta 5432 no host é permitido
• todas as outras conexões de dentro do contêiner são proibidas

Isso pode ser feito configurando iptables no host? Eu não sou um especialista em iptables.