На серваке был сервис на порту 33080, и он был доступен наружу даже с учётом того, что я настроил файрвол, чтоб пропускать только подключения к портам 22, 80, 443.

Как оказалось это из-за того что сервис запущен в docker и он сам отрывает порт 33080 в iptables, чтоб это пофиксить надо порты открывать так 127.0.0.1:33080:8080 вместо 33080:8080 (например в docker-compose.yaml)
тогда сервис будет доступен только с локалхоста например для caddy или nginx.
#til #linux #docker #security