Không thể truy cập bộ chứa Docker từ bộ chứa Docker khác thông qua IP máy chủ

Tôi có một máy chủ đang chạy Wireguard VPN trên 10.0.1.254/24 và Docker đang chạy trên 172.17.0.1/16.

Của tôi docker-compose.yaml trông như thế này (đơn giản hóa):

dịch vụ:
  vùng chứa_a:
    hình ảnh: nginx: mới nhất
    cổng:
      - '10.0.1.254:80:80'

  vùng chứa_b:
    hình ảnh: alpine: mới nhất

Bây giờ, tôi có thể truy cập nginx bằng cách sử dụng quên http://10.0.1.254 trên máy chủ. Tôi cũng có thể truy cập theo cách tương tự từ một VPN ngang hàng (ví dụ: 10.0.1.1). Nhưng khi tôi cố gắng thực hiện việc này từ bên trong bộ chứa Docker khác (ví dụ: docker soạn exec container_b wget http://10.0.1.254) Tôi nhận được một thời gian chờ. Tuy nhiên, tôi có thể ping máy chủ (docker soạn exec container_b ping 10.0.1.254).

Tôi đoán là điều này có liên quan đến cách Docker ánh xạ các cổng trên máy chủ. Nhưng tôi không thể tìm thấy nhiều thông tin về điều này. Có ai biết tại sao điều này không làm việc?

Hóa ra tôi vẫn cài đặt UFW, được cấu hình để cho phép kết nối đến cổng này trên wg0 giao diện. Nhưng hệ thống đủ thông minh để thực hiện một lối tắt, trực tiếp từ giao diện Docker ảo này sang giao diện Docker ảo khác, bỏ qua quy tắc CHẤP NHẬN này cho wg0 giao diện.

Tôi đã tìm ra điều này bằng cách sử dụng đuôi +1f /var/log/ufw.log, và sau đó chạy thất bại quên đi lệnh từ bộ chứa Docker khác.

Trong trường hợp của tôi, giải pháp đơn giản là vô hiệu hóa UFW (vô hiệu hóa sudo ufw), vì dù sao thì tôi cũng không sử dụng nó.