Dockerでiptablesを利用するには、DOCKER-USER chainにルールを追加します。

特定ネットワークからのみmysql接続を許可したい時など

IP確認

  # docker inspect db
           "Networks": {
                "django_default": {
                    .
                    .
                    .
                    "Gateway": "172.23.0.1",
                    "IPAddress": "172.23.0.2",
                    "IPPrefixLen": 16,
                    "IPv6Gateway": "",
                    "GlobalIPv6Address": "",
                    "GlobalIPv6PrefixLen": 0,
                    "MacAddress": "02:42:ac:17:00:02",
                    "DriverOpts": null
                }
            }
        }
    }

特定IPだけ許可

iptables -I DOCKER-USER -p tcp --dport 3306 -d 172.23.0.2 -j DROP
iptables -I DOCKER-USER -p tcp --dport 3306 -s 192.168.10.10 -d 172.23.0.2 -j ACCEPT

netfilter-persistentを利用すると、起動時に自動で反映する事が可能ですが、
Dockerを利用していると、起動時にDockerがiptablesのルールを追加するので、ルールが重複する可能性があります。
netfilter-persistentを利用する場合は、保存したルールからDockerが自動で入れるルールを削除しておいた方が良いです。

apt install netfilter-persistent

シェルなど用意しておいて、起動後入れる設定とかでも良いかも。

— Shinya Matsui 2023/12/06 07:10
現在確認すると、netfilter-persistentでの反映方法は設定反映されなくなってた。。。
やはり再起動後はシェルなどで追加する方が良さそう。

/etc/init.d/netfilter-persistent save
/etc/init.d/netfilter-persistent reload