由于哪吒面板爆出漏洞，为了安全彻底关闭外网访问8008端口的命令，用 iptables 中权限最高的 RAW 表。RAW 表在流量进入 Linux 内核连接跟踪（Connection Tracking）之前就生效Docker根本无法插手。

sudo iptables -t raw -I PREROUTING -p tcp --dport 8008 -j DROP