#daily tips# #docker# 注意：ufw 的防火墙规则对 docker 映射的端口不生效，当容器使用 -p 参数时，Docker会直接修改iptables 能将端口暴露到外面, 并且运行ufw status不能看到这种变更。
解决的方法:
1. 停止使用 -p 参数，使用 docker link 或 docker networks代替。
2. 让容器只监听 localhost 网卡，这样不会把端口暴露到外面，如:docker run -p 127.0.0.1:8080:8080 ...
3. 如果一定要使用 -p 参数，可以禁止docker 修改iptables ，防止它将端口暴露在外面，可以向 /etc/docker/daemon.json 加入 { "iptables" : false } 并重启docker。（注意，这有一定的副作用，不推荐使用这种方式）

参考：
https://askubuntu.com/questions/652556/uncomplicated-firewall-ufw-is-not-blocking-anything-when-using-docker
https://askubuntu.com/a/652572
https://chjdev.com/2016/06/08/docker-ufw/
https://docs.docker.com/config/containers/container-networking/