问题由来
今天我启动了一个 docker 服务，通过 ip:port 的方式可以正常访问服务，但是在我查看防火墙的时候发现没有这个端口哇，奇怪了！！防火墙没有配置为啥能访问进来呢？？？勾起了我的好奇心，探究了一番有了以下教程，这个小知识点估计大佬们都知道了，但是涉及到安全问题，我相信好多小白可能还是不清楚的，安全问题多提几次我觉得也不为过，尤其是部署到公网上的服务尤其要引起重视！！ 
🔍 问题根源：Docker 端口映射的 “隐藏炸弹”
当使用 docker run -p 3001:3001 时，**Docker 会自动在 iptables 中添加 NAT 规则 **，允许外部流量通过 3001 端口访问容器。然而，这些规则： 

** 对防火墙工具不可见 **：如 firewalld、ufw 等工具无法直接管理这些规则；
** 绕过常规防火墙控制 **：Docker 的规则优先级高于用...