Не связывать внешний порт машины с внутренним портом контейнера

Суть вопроса: Можно ли не выделять внешний порт машины для внутреннего порта контейнера? То есть, чтобы доступ к порту контейнера можно было получить только через сеть докера, но при этом порт машины под это не занимался.

Имеется подобный docker-compose файл:

version: "3.8"
services:
  registry:
    image: registry:2
    container_name: registry
  
    ports:
      - :5000
    
    ...

Как я понимаю, подобная конструкция свяжет рандомный свободный внешний порт со внутренним 5000, из-за чего придётся закрывать внешний порт, если я не хочу, чтобы до приложения достучались извне.

Пробовал так же указать ports: [] и не указывать его вовсе, в таком случае, как я понимаю, порт всё равно присваивается.