docker会直接开放这个端口的外网访问，怎么屏蔽这种特性？

使用-p 参数指定容器的端口绑定到宿主机之后，docker会直接开放这个端口的外网访问，怎么屏蔽这种特性

使用 docker run -d --name=nginx_test002 -p 8011:80 nginx 启动一个容器之后，docker会直接将宿主机的8011端口直接暴露到外网，就算我在 添加 iptables -I INPUT -p tcp -m tcp --dport 8011 -j DROP 规则也没有办法屏蔽外网对这个端口的访问，有什么办法可以避免这种情况吗？这个端口，我只想让内网的其他机器访问。