Запретить контейнерам доступ к сети хоста

В простой структуре docker-compose, подобной этой

version: "2"
services:
  app:
    image: myapp
  db:
    image: mydb

автоматически создается мостовая сеть, которая позволяет:

1. app и db увидеть друг друга
2. app и db чтобы увидеть сеть хоста
3. app и db выйти в интернет

Как я могу запретить пункт 2, сохранив два других?

Имеет ли значение явное создание мостовой сети?