Docker容器暴露端口仅主机可访问，同网段其他机器无法访问的排查求助（含iptables规则及Compose配置）

阿华AIGC实验室

2026-4-21

大家好，我遇到了一个Docker端口映射的奇怪问题，想请各位帮忙分析排查。

我搭建了一个内置VPN的自定义Docker容器，通过iptables严格管控容器内的流量，核心思路是：

默认拒绝所有进出流量
仅允许容器向VPN服务器发起的eth0出站请求
开放容器内的5800（VNC）和8112（Deluge）端口，通过Docker映射到主机的40001、40002端口，让外部能访问这些服务
允许Torrent客户端通过VPN设备访问外部网络

容器内的iptables规则如下：

# Flush all existing rules and chains
iptables -F
iptables -X

# Set default policies to DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Allow loopback traffic (localhost)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# allow vpn to be connected
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

while IFS=' ' read -r host port; do
iptables -A OUTPUT -o eth0 -p udp --dport $port -d $host -j ACCEPT
done < "/tmp/entries"

iptables -A OUTPUT -o ${VPN_DEVICE} -j ACCEPT

# allow vnc to be connected
iptables -A INPUT -i eth0 -p tcp --dport 5800 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 5800 -m state --state ESTABLISHED -j ACCEPT

# allow deluge to be connected
iptables -A INPUT -i eth0 -p tcp --dport 8112 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 8112 -m state --state ESTABLISHED -j ACCEPT

# allow deluge to access external world
iptables -A INPUT -i ${VPN_DEVICE}  -p tcp --dport 6881:6891 -j ACCEPT
iptables -A OUTPUT -o ${VPN_DEVICE}  -p tcp --dport 6881:6891 -j ACCEPT
iptables -A INPUT -i ${VPN_DEVICE}  -p udp --dport 6881:6891 -j ACCEPT
iptables -A OUTPUT -o ${VPN_DEVICE}  -p udp --dport 6881:6891 -j ACCEPT

我的Docker Compose配置：

version: "2.1"
services:
  vpn:
    build: ./
    cap_add:
      - NET_ADMIN
    devices:
      - /dev/net/tun
    volumes:
      - ./volumes/vpn-config:/vpn-config
      - ./volumes/deluge-config:/deluge-config
      - ./volumes/downloads:/downloads
      - ./volumes/firefox-profile:/config
      - ./volumes/downloads:/config/downloads
    ports:
      - 40001:5800
      - 40002:8112
    restart: unless-stopped