Cuidado, você pode sem querer estar vazando o acesso aos seus containers Docker

Apenas um aviso de segurança para quem usa Docker

Vocês sabiam que ao configurar o bind de portas de um container Docker, caso você não declare a interface do host no qual você quer fazer bind, o comportamento do docker é realizar bind na interface 0.0.0.0 que significa todas a interfaces?

Exemplo sem declarar a interface explicitamente

docker-compose.yaml

# docker-compose.yaml
services:
  whoami:
      image: "traefik/whoami"
      container_name: whoami
      ports:
      # mapeia a porta 80 do container para a porta 8080 do host, 
      # e como não explicita a interface do host,
      # o docker faz bind para a interface 0.0.0.0, que significa todas as interfaces
        - "8080:80"

Acessando o endereço localhost pelo navegador do host com sucesso

Acessando o endereço LAN do servidor pelo celular com sucesso

Exemplo declarando a interface explicitamente

docker-compose.yaml

# docker-compose.yaml
services:
  whoami:
      image: "traefik/whoami"
      container_name: whoami
      ports:
      # mapeia a porta 80 do container para a porta 8080 do host, 
      # e faz bind explicitamente para a interface 127.0.0.1 (localhost)
        - "127.0.0.1:8080:80"

Acessando o endereço localhost pelo navegador do host com sucesso

Acessando o endereço LAN do servidor pelo celular com erro

Isso é realmente um problema ?

Pessoalmente acredito que esse comportamento padrão é inseguro, sou crente da ideia de que o "padrão" deve ser o mais seguro possível, e o usuário deve explicitamente optar/configurar o inseguro.

Acredito que muitos de vocês devem executar o Portainer no computador de vocês. Vocês realmente querem que ele esteja exposto na LAN?

A propósito, descobrir esse comportamento do docker ao descobrir que meu Portainer, e vários outros containers de serviços locais estavam sendo expostos na LAN.