因為要管制跑在LXC上docker的網路

才發現把iptables直接下在 LXC上的 INPUT 是沒用的 

iptables -I INPUT -p tcp -s 10.0.0.0/8 --dport 1111 -j DROP

以上如果是啟動 docker 時 相對應到各自的 1111是無法管制連入 docker的

本來的認知是只要在最外層擋就好了 但並不是

要下在 DOCKER-USER 這個 chain 才有作用

iptables -I DOCKER-USER -p tcp -s 10.0.0.0/8 --dport 1111 -j DROP