Pour firewaller des container dockerisés, mettre des règles sur le port mappé ne fonctionne pas. En effet, la règle de nat court-circuite la chaine INPUT et envoie le packer sur les chaines DOCKER-*

Pour firewaller, il faut donc utiliser la chaine DOCKER-USER, en réspectant :

  • Il faut insérer avant l'unique règle qui laisse tout passer
  • Il faut utiliser le port dans l'environnement containérisé car nous ne somme plus dans le contexte hôte

C'est bien pensé, ca marche, mais c'est tout sauf évident. Enfin bon, c'est bien pensé et ca marche, mais si on peut s'en passer (par exemple en n'exposant pas le port, ou au moins pas 100% publiquement, on peut s'affranchir de complexifier l'iptables).