Dcoker容器在使用的過程中，有的時候是需要使用在容器中使用iptables進行啟動的，預設的docker run時都是以普通方式啟動的，沒有使用iptables的許可權，那麼怎樣才能在容器中使用iptables呢？要如何開啟許可權呢？

那麼在docker進行run的時候如何將此容器的許可權進行配置呢？主要是使用
--privileged或--cap-add、--cap-drop
來對容器本身的能力的開放或限制。以下將舉例來進行說明：

例如：
有一個image為aaa的將啟動為容器名為bbb的且在容器內需要使用iptables功能，可以使用–privileged=true來進行開啟，如：

docker run --privileged=true -d -p 4489:4489/tcp  --name bbb aaa

執行以上的命令後，可以進入容器中進行iptables的配置：

docker exec -it cg_openvpn /bin/bash

iptables -A INPUT -s 192.168.1.156 -j DROP
iptables -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all – * * 192.168.1.156 0.0.0.0/0

但是這樣的話就將系統的所有能力都開放給了docker容器，這是一種對宿主機非常不安全的做法，例如：可以直接對宿主機中的裝置等進行操作。

對於iptables需要的許可權進行開放，而對於其它的許可權不予開放，那麼在啟動docker的時候使用如下的命令引數進行限制許可權的過度開放：

docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp  --name bbb aaa