A UFSCar usa um sistema para correção automática de trabalhos de programação desenvolvidos por estudantes. Esse sistema é composto por 3 serviços, cada um provisionado em um container Docker distinto: banco de dados, corretor e frontend web. O container do corretor é privilegiado e também possui o Docker instalado dentro de si, pois o corretor “sobe” um novo container aninhado (ou seja, dentro de seu próprio container) para cada trabalho a ser corrigido.

O problema é que os containers aninhados têm acesso à rede interna do Docker, permitindo que acessem o banco de dados e a API do corretor. Esse fato poderia ser aproveitado por estudantes maliciosos para comprometer esses serviços. No entanto, os professores requisitaram que o acesso à rede dos containers aninhados não seja completamente cortado, pois alguns trabalhos pedem que os alunos acessem servidores na Internet a partir de seus códigos.

O container do corretor possui as interfaces de rede eth0, com endereço 172.17.0.3 e máscara /16 e docker0 com endereço 172.18.0.1 e máscara /16. Sabendo disso, assinale a alternativa que contém um conjunto correto de regras do iptables, necessárias e suficientes para mitigar esse problema, cumprindo os requisitos discutidos anteriormente.