นักเทียบท่าเปิดเผยพอร์ตของคอนเทนเนอร์ แต่จำกัดการเข้าถึงเครือข่าย

ฉันมีเซิร์ฟเวอร์ A และรันคอนเทนเนอร์ B (เช่นเซิร์ฟเวอร์ SSH) ฉันต้องการอนุญาตให้ผู้คนทำการคำนวณบน B ที่ไม่สามารถเข้าถึงเครือข่ายได้

โดยใช้ นักเทียบท่าเรียกใช้ --publish=${MY_PORT}:22 ...ฉันเปิดเผยพอร์ตของคอนเทนเนอร์ B เพื่อให้ผู้คนเชื่อมต่อกับ Bวิธีนี้ผู้คนสามารถ ssh เป็น B โดยใช้ A ${MY_PORT} ท่า. อย่างไรก็ตาม ผู้คนสามารถเริ่มการเชื่อมต่อ TCP กับเซิร์ฟเวอร์อื่นได้ (เช่น 8.8.8.8) ดังนั้นพวกเขาจึงสามารถใช้เซิร์ฟเวอร์ A ซึ่งเป็นโฮสต์กระโดดเพื่อทำสิ่งเลวร้ายได้

เป็นไปได้ไหมที่จะแยกเครือข่ายของคอนเทนเนอร์ B นั่นคืออนุญาตการเข้าถึงพอร์ตที่เผยแพร่เท่านั้น และปฏิเสธการรับส่งข้อมูลเครือข่ายอื่นทั้งหมด ฉันกำลังคิดอะไรบางอย่างที่คล้ายกับ --network=none --publish=${MY_PORT}:22. เป็นไปได้ไหมที่จะทำสิ่งนี้โดยไม่ต้องแก้ไข iptables ของ Docker