Ngăn bộ chứa docker truy cập internet ngoại trừ SSH, DNS và SMTP

Tôi có bộ chứa docker với máy chủ SSH, máy chủ HTTP và máy khách SMTP (cần phân giải tên miền).

Bên cạnh đó, tôi muốn ngăn vùng chứa truy cập internet.

Tôi sử dụng các quy tắc từ https://github.com/chaifeng/ufw-docker để tránh lộ các cổng container ra internet, nhưng đó có lẽ là một câu chuyện khác.

Thêm

tuyến ufw từ chối từ 172.25.0.4 đến bất kỳ

thực sự ngăn chặn vùng chứa (IP nội bộ 172.25.0.4, như thu được với docker kiểm tra) truy cập internet và máy chủ HTTP vẫn có thể truy cập được.

Đối với DNS và SMTP, dường như thực hiện thủ thuật, đã thêm trước quy tắc trước:

tuyến ufw cho phép proto udp từ 172.25.0.4 tới bất kỳ cổng nào 53

tuyến ufw cho phép từ 172.25.0.4 đến bất kỳ cổng 587 nào

Tuy nhiên, tôi không thể để SSH (Internet -> container) hoạt động. Nó kết nối tốt mà không cần phủ nhận nhưng ngay khi nó được thêm vào, kết nối không thành công với thông báo UFW chặn các cổng dường như không liên quan đến cổng 22 (ví dụ: SPT=49733 ĐPT=28316).

Tôi đang thiếu gì và làm cách nào để cho phép lưu lượng SSH vào vùng chứa?