首先Docker在Linux的環境下，Docker使用iptables規則來提供網路隔離。
然而在Docker swarm mode的環境下，我們是沒辨法把連接埠開在host的127.0.0.1下的，
這時便可透過iptables中的DOCKER-USER chain來自訂規則囉 。

Docker 安裝了兩個名為 DOCKER-USER 和 DOCKER 的自定義 iptables 鏈，它確保傳入的數據包始終首先由這兩個鏈檢查。

Docker 的所有 iptables 規則都添加到 DOCKER 鏈中。不要手動操作此鏈。

如果您需要添加在 Docker 規則之前加載的規則，

請使用 DOCKER-USER 鏈。這些規則可在 Docker 自動創建的任何規則之前啟用。

例如我的nginx開了port 8081，代表了輸入host的ip，加上port 8081就能存取到該主機了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其實我更希望是透過HAProyx才可以存取到該主機，而不是使用者開啟host的ip加上port 8081就進行存取，那麼解法就是調整iptables囉 。

我們可以用如下指令先查看見前的規則

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全開放的，我們可以寫個bash如下，請注意，這只是一個示意範例，請依自己的需求自行調整。
在這範例中包含了不同的網段或特定的IP及網卡。

#!/bin/bash
iptables -F DOCKER-USER
#全檔只能用本機的ip存取
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#鎖區網在可以連
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出規則
iptables -nL DOCKER-USER

在開頭 ，我先清除了所有規則

iptables -F DOCKER-USER

其他就不多說了，相信大家用猜的都猜的出來。