...
- Доступ к docker-контейнерам фильтруется в цепочке
DOCKER-USER
, а доступ к приложениям хост-системы — традиционно в цепочкеINPUT
. - Для разрешающих правил цепочки
DOCKER-USER
применяется действиеRETURN
, потому что трафик дальше продолжает обрабатываться служебными правилами Docker Engine. - Порты назначения в
DOCKER-USER
определяются с помощью модуляconntrack
, поскольку на данном этапе пакеты уже прошли через DNAT и порт назначения изменился на порт внутри контейнера.
Рекомендации
Список правил iptables стоит вести в отдельном файле (например, в /etc/network/iptables.up.rules
) и загружать в систему до запуска Docker Engine.
...