问题分析 #

你遇到的报错iptables: Bad rule (does a matching rule exist...)，核心原因是你执行的删除命令和实际存在的规则不匹配：

• 实际存在的规则是允许访问172.17.0.2的http-alt端口（对应端口号8080）
• 但你执行的命令里指定的是--dport 80，两者端口参数不一致，iptables找不到对应的规则，所以报错。

正确的解决步骤 #

1. 先确认目标规则的完整参数
   用更详细的命令查看DOCKER链的规则，避免服务名（如http-alt）带来的混淆：

   iptables -v -n -L DOCKER
   

   输出里会显示端口的数字（比如8080），确保你能准确匹配规则的所有参数。

2. 执行正确的删除命令
   根据实际规则，你可以用两种方式删除：

   • 方式一：使用服务名http-alt

     iptables -D DOCKER -p tcp --destination 172.17.0.2 --dport http-alt -j ACCEPT
     

   • 方式二：使用端口数字8080（更直观，避免服务名解析问题）

     iptables -D DOCKER -p tcp --destination 172.17.0.2 --dport 8080 -j ACCEPT
     

3. 确保80端口仅本地访问
   要实现只让80端口在服务器内部（localhost:80）暴露，你需要调整Docker的端口映射方式：
   运行容器时，绑定端口到本地回环地址127.0.0.1，而不是默认的0.0.0.0（允许所有外部访问）：

   docker run -p 127.0.0.1:80:容器内目标端口 你的镜像名
   

   这样Docker会自动生成仅允许本地访问的iptables规则，无需手动修改。

补充说明 #

iptables的删除命令-D要求完全匹配规则的所有参数（协议、源/目标地址、端口、动作等），哪怕一个参数不一致，都会提示找不到规则。所以删除前一定要用iptables -v -n -L确认规则的完整细节。

内容的提问来源于stack exchange，提问作者vdegenne