Docker はこれらコンテナ側のポートを 0.0.0.0 、つまりワイルドカード IP アドレスで公開しているのが分かります。これはホストマシン上に到達可能な全ての IP アドレスが対象です。制限を加えたい場合や、ホストマシン上の特定の外部インターフェースを通してのみコンテナのサービスへ接続したい場合は、2つの選択肢があります。
1つは docker run の実行時、 -p IP:ホスト側ポート:コンテナ側ポート か -p IP::ポート を指定し、特定の外部インターフェースをバインドする指定ができます。
