Docker与iptables 只允许特定ip访问Docker的服务

怎样只允许特定ip访问Docker的服务？

方法一： 

Docker与iptables （在DOCKER-USER链中处理）
Docker至少会在iptables规则中自动安装两个新链，一个是DOCKER，一个是DOCKER-USER，可以通过如下方式查看
iptables -S -t nat 查看DOCKER链规则
iptables -S 查看DOCKER-USER链规则
随着docker版本不同，可能还会有其他链，但一般来说，我们应该只修改DOCKER-USER链即可。
如果想要对docker端口做访问限制，可以参考如下规则：

#只允许192.168.1.1访问docker的服务，其中ext_if是你机器上的实际网卡名
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP

#只允许网段192.168.1.0/24
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP

#只允许ip范围
iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP

原文链接：
Docker and iptables
https://docs.docker.com/network/iptables/

方法二：

Docker加入自定义iptables规则链（新建一个链加在FORWARD中进行处理）
https://www.cnblogs.com/jiftle/p/13821394.html

方法三：

iptables禁用docker暴露的端口（在nat表的DOCKER链中处理）
https://blog.csdn.net/u010544187/article/details/86698201