docker端口映射后,外部可以直接通过宿主机未开启的端口访问到服务的问题?-灵析社区

我的服务器A部署了前端服务, ip为192.168.111.115, 服务器部署有nginx(非docker部署),防火墙开放有80端口以及ftp相关端口,由于前端需要node环境,于是用docker部署了nodejs环境,并在Nginx配置: location / { proxy_pass http://localhost:3000; } 然后使用docker run [其它] 3000:3000 [其它] 命令 并未指定网络模式(默认为bridge模式)运行项目 项目可以正常通过192.168.111.115访问,然后一个偶然的机会发现居然可以192.168.111.115:3000也能访问到, ### 于是进行了以下尝试 #### 尝试一: 在网上搜了解决方法,是在docker的配置文件daemon.json加入 { "iptables": false } 从新启动docker,通过docker info发现如下警告: WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 而且这样操作发现项目访问速度也比原来慢了. 于是重新启用docker的iptables. #### 尝试二: 使用服务器firewall-cmd 命令,设置了3000端口的入方向的限制 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="3000" reject' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" port protocol="tcp" port="3000" reject' 发现不管用.仍可以通过3000端口访问到. #### 尝试三: 尝试在docker run 中设置 --net=host 模式,问题得到解决,但这样就没有网络隔离,安全性差了. **求助:** 有没有什么方法实现, 我即使用bridge模式, 又可以限制外部仅可以通过ip访问到项目,而ip:3000 访问不了?