Предотвращение доступа контейнера Docker к Интернету, кроме SSH, DNS и SMTP

У меня есть док-контейнер с SSH-сервером, HTTP-сервером и SMTP-клиентом (который должен разрешать доменные имена).

Кроме того, я хотел бы запретить доступ контейнера к Интернету.

Я использую правила из https://github.com/chaifeng/ufw-докер чтобы не открывать порты контейнера в Интернете, но это, вероятно, другая история.

Добавление

ufw route deny с 172.25.0.4 на любой

действительно предотвращает контейнер (внутренний IP 172.25.0.4, полученный с помощью докер проверяет) от доступа к Интернету, а HTTP-сервер по-прежнему доступен.

Для DNS и SMTP, кажется, помогает, добавлено перед предыдущее правило:

ufw route разрешает proto udp с 172.25.0.4 на любой порт 53

маршрут ufw разрешает с 172.25.0.4 на любой порт 587

Однако я не могу заставить работать SSH (Интернет -> контейнер). Подключается нормально без Отрицать правило, но как только оно добавлено, соединение завершается сбоем, и UFW сообщает о блокировке портов, которые кажутся не связанными с портом 22 (например, SPT=49733 DPT=28316).

Что мне не хватает и как я могу разрешить SSH-трафик в контейнер?