在使用Docker时，经常会遇到需要将容器内部的服务映射到宿主机上的端口，以便外部可以访问。但有时候会遇到这样的问题：即使宿主机上未开启对应的端口，外部依然可以通过这些端口直接访问到服务，这可能存在一定的安全隐患。本文将介绍如何解决这个问题。

首先，让我们了解一下Docker端口映射的原理。当我们使用docker run命令启动一个容器时，可以使用-p参数将容器内部的端口映射到宿主机上。例如：

docker run -p 8080:80 nginx

这个命令将容器内部的80端口映射到宿主机的8080端口上。这样外部可以通过访问宿主机的8080端口来访问容器内的Nginx服务。

然而，有时候我们可能会发现即使宿主机上未开启8080端口，外部依然可以通过8080端口直接访问到Nginx服务。这是因为Docker在进行端口映射时，并不会检查宿主机上端口的状态，而是直接将流量转发到容器内部的对应端口。

为了解决这个问题，我们可以采取以下两种方式之一：

1、 使用防火墙规则

我们可以在宿主机上设置防火墙规则，禁止外部访问未开启的端口。
例如，使用iptables命令：

sudo iptables -A INPUT -p tcp --dport 8080 -j DROP

这个命令会将对8080端口的所有访问请求直接丢弃，从而阻止外部对未开启的端口的访问。

2、使用Docker的防火墙规则

从Docker 1.13版本开始，Docker引入了一个新的功能——Docker的防火墙规则（Docker Firewall）。这个功能可以在Docker守护程序层面上设置防火墙规则，从而保护Docker容器的网络安全。我们可以通过修改Docker的防火墙规则来限制外部对未开启的端口的访问。

综上所述，通过设置防火墙规则，我们可以有效地解决Docker端口映射后外部访问未开启的端口的问题，提高系统的安全性。

个人观点，仅供参考

​