说说这段时间干的事儿

1、只能 host 网络才可以直接使用 iptables INPUT 规则限制访问端口。
2、限制通过端口直接访问 Docker 容器服务，需要定义 iptables DOCKER-USER 规则，而且开机自启动需要晚于系统创建 DOCKER-USER 规则链的时间，否则不生效。
3、对于 SSH 、 X-UI 、 Docker 都需要定义 IPv6 规则。
4、对于 Nginx 反向代理需要加入 upstream 块，用于同时代理 IPv4 和 IPv6 地址。
5、直接使用 Docker 默认网络，外界也可以直接通过 IPv6 访问容器服务，但不利于安全管理，需要借助 robbertkl/ipv6nat 这个容器，实现 IPv6 的 NAT 转发功能，分配内部 IPv6 地址。有些服务未知原因无法使用此方法，比如 searxng 搜索引擎，反而只能通过默认 bridge 网络才可以。
6、同样是不定义本地 IP 地址，但是，通过 iptables INPUT 规则限制的端口，就算是本地节点，亦不能访问，而，通过 iptables DOCKER-USER 规则限制的端口，外界无法访问，本地节点可以访问，这类似于 linode 商家的外置防火墙给我的感觉。
7、所有 Servers 都需要设置中文显示。