不懂，转发一个供参考：
Docker安装了两个定制的iptables链，名为DOCKER-USER和DOCKER，它确保传入的数据包总是首先由这两个链检查。

Docker的所有iptables规则都被添加到Docker链中，不要手动操作该链条。
如果您需要添加在Docker规则之前加载的规则，请将它们添加到DOCKER-USER链中。这些规则是在Docker自动创建任何规则之前应用的。

添加到转发链中的规则——无论是手动添加的，还是由另一个基于iptables的防火墙添加的——都会在这些链之后进行评估。这意味着如果您通过Docker暴露一个端口，无论您的防火墙配置了什么规则，该端口都会被暴露。

如果您希望这些规则即使在端口通过Docker暴露时也适用，那么您必须将这些规则添加到DOCKER-USER链中。

作者：Bogon
链接：https://www.jianshu.com/p/a16b07cf3da0
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
【 在 qlogic 的大作中提到: 】
: 在k8s上装了一个gitlab接口，用ingress-nginx暴露了2222端口作为ssh服务端口，供远
: 程提交代码。这是前言
: 后来就在gitlab日志里发现n多尝试登录的信息，基本上每分钟都有好几次，这不行啊，
: ...................
--
修改:hyoga FROM 106.184.119.*
FROM 106.184.119.*