docker的端口限制以及宿主机iptables规则

首先 docker的版本为18.06.3-ce
需要对docker开启的端口进行ip访问限制，例如指定某些ip访问3306端口，命令如下：

#让11.11.141.0网段的服务器以及本机ip可以连接3306端口，而且还需要让docker访问数据库，否则docker部署的数据库之间通信就会被拦截
iptables -I DOCKER-USER -s 11.11.141.0/24,10.122.163.82,172.17.0.1/24 -p tcp -m multiport  --dport 3306 -j ACCEPT
#查看规则链，发现第三条是一个return规则，我们所有的设置都需要在这条链以上才生效
iptables -L DOCKER-USER --line-numbers
#所以拒绝连接的链在第三条位置
iptables -I DOCKER-USER  3 -p tcp  -m multiport --dport 3306 -j REJECT
#如果操作错误，可以使用如下命令删除这个链，num是链的编号
sudo iptables -D DOCKER-USER num

部分参数如下：
-A 添加到最后一条规则
-I num 添加到 指定数字处，原此处的规则序列加1
-D 删除
-L 列表展示
-m multiport 可以指定多个地址范围