Docker 主机的正确 iptables 规则是什么？

我无法从容器内访问互联网（如果我在 Docker 的 daemon.json 配置文件中输入 iptables: false）

Docker 依靠 iptables 来配置其网络。这包括用于处理外部网络访问的 NAT 规则，以及用于配置容器在 docker 网络上相互访问的许多其他规则。默认情况下，此访问是开放的，但在创建网络时可以选择限制外部访问和容器间通信。因此，我不建议iptables在 docker 中将选项设置为 false，因为正如您所见，这会破坏所有这些功能。

在主机上发布端口会隐式允许外部访问。因此，避免外部访问的最简单方法是不发布端口。您可以将端口发布到特定接口上，例如，127.0.0.1:8080:80在主机的环回接口 ( 127.0.0.1) 上发布端口 8080 以连接到容器的端口 80，并且该环回接口不可从外部访问。但是，如果无法将端口保持未发布状态，则可以使用 iptables 来实现。

我现在想要知道是否可以使用 iptables 来阻止 Docker 打开的端口以及如何

这可以通过修改过滤器链来实现DOCKER-USER。你可以找到这样的例子，例如：

$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP

来自以下文档：https://docs.docker.com/network/iptables/

请注意，端口是由在过滤规则之前运行的一些修改规则所改变的，因此如果您想按端口进行过滤，则需要使用 conntrack 来获取原始目标端口：

$ iptables -I DOCKER-USER -i eth0 -p tcp \
    -m conntrack --ctorigdstport 8080 -j DROP
$ iptables -I DOCKER-USER -i eth0 -s 10.0.0.0/24 -p tcp \
    -m conntrack --ctorigdstport 8080 -j ACCEPT

请注意，DOCKER-USER 中有一个默认规则是接受所有内容，因此您需要将规则插入到链的顶部（-I），而不是附加到末尾（-A）。

看：使用 iptables 限制与 docker 容器的外部连接的步骤？

此时我想要的是找出是否可以使用 iptables 来阻止 Docker 打开的端口以及如何阻止（也许通过 mangle 预路由？）。

经过大量的研究和测试，我发现只公开你想要的端口而不公开docker端口的最好（也是最简单）的方法是将IP设置为docker-compose.yml127.0.0.1（只公开给主机）

ports:
  - "127.0.0.1:3306:3306"

然后您可以使用 nginx 或任何其他反向代理来向外部公开。

这边走：

• 你不需要添加 DOCKER-USER iptables 规则每次重启docker
• 端口 3306 仅在主机内部公开
• Docker 可以根据自己的需要来管理 iptables 规则。