Docker nicht iptables und die Firewall konfigurieren lassen

Vom Standard her konfiguriert Docker die Firewall des Hostsystems, sobald ein Port vom Container verfügbar gemacht wird. Das kann gut sein, muss es aber nicht; vor allem dann nicht, wenn man einen Server im Internet betreibt und plötzlich "alle" Ports nach außen verfügbar sind.

Um dieses zweifelhafte Verhalten zu unterbinden, muss Docker mit der Option "--iptables=false" gestartet werden. Das geht am besten über die Docker-Konfiguration:

vim /etc/docker/daemon.json

{ "iptables" : false }

Docker-Dienst neustarten, damit die Konfiguration geladen wird:

systemctl restart docker