컨테이너 외부의 포트만 거부하기 위해 systemd 리소스 관리를 사용할 수 있나요?

컨테이너 외부의 포트만 거부하기 위해 systemd 리소스 관리를 사용할 수 있나요?

최신 Fedora 39에서는 루트 없는 컨테이너용 podman을 설정하고 /etc/systemd/system/user-1000.slice.d/user-resources.conf를 생성하여 사용자가 바인딩할 수 있는 포트를 제한했습니다.

[Slice]
SocketBindAllow   = 12345
SocketBindDeny    = any

이제 예상대로 사용자는 포트 20202에 바인딩할 수 없습니다. 예를 들면 다음과 같습니다.

$ nc -4 -lp 20202
Ncat: bind to 0.0.0.0:20202: Operation not permitted. QUITTING.

그러나 나를 괴롭히는 것은 거부된 포트에 바인딩하는 것이 불가능하다는 것입니다.이내에포트를 노출하지 않는 컨테이너:

$ podman run docker.io/library/alpine nc -lp 20202
nc: bind: Operation not permitted

이것은 버그입니까? 내가 할 수 있는게 있습니까?

関連情報