Если в контейнере подняты какие-либо веб-интерфейсы, например как это реализовано в WG-easy, то стандартными средствами типа UFW и iptables закрывать порты будет достаточно проблематично.

Поэтому на помощь приходит ufw-docker с очень простым алгоритмом. Заблокировано всё, что не разрешено.

Ставим!

Для начала у вас должен быть установлен и запущен стандартный UFW:

sudo apt install ufw
ufw enable

Качаем из репозитория ufw-docker.

sudo wget -O /usr/local/bin/ufw-docker https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker
sudo chmod +x /usr/local/bin/ufw-docker

Затем устанавливаем и перезапускаем UFW. 

ufw-docker install

sudo systemctl restart ufw

Готово!!!!

В утилите ufw-docker есть команда, которая выборочно вносит порты в белый список для определенных контейнеров Docker.

ufw-docker allow httpd 80

Однако если вы хотите использовать более продвинутое правило, например, белый список на основе IP, вам придется использовать ufw route allow

ufw route allow proto tcp from 1.2.3.4 to any port 9443

Мануал простой

Usage:
  ufw-docker <list|allow> [docker-instance-id-or-name [port[/tcp|/udp]] [network]]
  ufw-docker delete allow [docker-instance-id-or-name [port[/tcp|/udp]] [network]]

  ufw-docker service allow <swarm-service-id-or-name <port</tcp|/udp>>>
  ufw-docker service delete allow <swarm-service-id-or-name>

  ufw-docker <status|install|check|help>

Для варианта с wireguard-ui будет просто:

Разрешаем.

ufw-docker allow wg-easy

Удаляем:

ufw-docker delete allow wg-easy

 

Done.

 

Отдельно решение для открытия доступа WG-easy из сети:

Доступ будет по адресу:

http://10.2.0.3:51821