Perché un container Docker che esegue un server espone la porta al mondo esterno anche se detta porta è bloccata da iptables?

Sto riscontrando un problema con MySQL in esecuzione all'interno di un contenitore Docker. La mia immagine di prova è costruita dal seguente Dockerfile:

# See: https://index.docker.io/u/brice/mysql/

FROM ubuntu:12.10
MAINTAINER Joni Kahara <joni.kahara@async.fi> 

# Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024
RUN dpkg-divert --local --rename --add /sbin/initctl
RUN ln -s /bin/true /sbin/initctl

RUN apt-get update
RUN apt-get upgrade -y

RUN apt-get -y install mysql-server

RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = 0.0.0.0/" /etc/mysql/my.cnf

RUN /usr/bin/mysqld_safe & \
    sleep 10s && \
    mysql -e "GRANT ALL ON *.* to 'root'@'%'; FLUSH PRIVILEGES;"

EXPOSE 3306

VOLUME ["/var/lib/mysql", "/var/log/mysql"]

CMD ["mysqld_safe"]

Dopo aver creato un'immagine dal file sopra, la eseguo con:

docker run -p 3306:3306 asyncfi/magento-mysql

Dopodiché tutto è perfetto e posso accedere a questa istanza di MySQL dal computer locale. Tuttavia, posso anche accedere da qualsiasi altra macchina.

Ho impostato il mio firewall per filtrare tutto tranne il traffico proveniente da porte specifiche (SSH "nascosto", HTTP, HTTPS), e questo filtro sembra effettivamente funzionare; se ad esempio eseguo un server di sviluppo Django sulla porta 1234, allora sono in grado di connettermi dal computer locale, ma non dall'esterno. Quindi il firewall sembra filtrare i pacchetti quando sono destinati a un server in esecuzione come un processo "semplice", ma non quando il server è in esecuzione all'interno di un contenitore.

iptables -L -v --line-numbers dice quanto segue:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2265  107K ACCEPT     all  --  lo     any     anywhere             anywhere
2     240K  319M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED
3       14  1040 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:<REDACTED>
4       21  1092 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
5        6   360 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https
6      538 34656 LOG        all  --  any    any     anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables DROP: "
7      551 35424 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 5 packets, 296 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  docker0 docker0  anywhere             anywhere
2     6752  396K ACCEPT     all  --  docker0 !docker0  anywhere             anywhere
3     125K  188M ACCEPT     all  --  any    docker0  anywhere             anywhere             ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 51148 packets, 14M bytes)
num   pkts bytes target     prot opt in     out     source               destination

La versione Docker è:

Client version: 0.7.3
Go version (client): go1.2
Git commit (client): 8502ad4
Server version: 0.7.3
Git commit (server): 8502ad4
Go version (server): go1.2
Last stable version: 0.7.3

Perché la porta MySQL è esposta al mondo esterno?

Grazie agli utenti del canale IRC #docker Michael Crosby e Paul Czar sono ora in grado di rispondere alla mia domanda. Il problema sta nel fatto che ho eseguito il contenitore in questo modo:

docker run -p 3306:3306 asyncfi/magento-mysql

Questo pubblica la porta del container su tutte le interfacce del computer host, che non è sicuramente quello che stavo cercando in questo momento. Per eseguire il binding solo a localhost, era necessario eseguire il contenitore come segue:

docker run -p 127.0.0.1:3306:3306 asyncfi/magento-mysql

Inoltre, la EXPOSEriga in Dockerfile non è necessaria in quanto il meccanismo "esporre" viene utilizzato per collegare i contenitori .