Das ist eine separate, wenn auch verwandte Situation. Das sind Verbindungen, die von außen kommen, und Docker fügt Regeln hinzu, um exponierte Ports zuzulassen.
Ich bin nicht sehr vertraut mit netfilter/iptables Chain-Regeln, aber ich glaube, das oben zeigt:
- Wenn die Verbindung von
docker0kommt, d. h. aus dem Standard-Docker-Netzwerk, kehrt sie zur vorherigen Kette zurück (stoppt die Verarbeitung von Regeln in dieser Kette). - Andernfalls, wenn die Verbindung von etwas anderem als
docker0kommt und es sich auch um HTTPS oder HTTP handelt, wird DNAT angegeben, wodurch sie zur FORWARD-Kette weitergeleitet wird.
Bei der im anderen Thema gezeigten Anordnung geschieht also Folgendes: Wenn HTTPS- oder HTTP-Traffic von außen kommt, wird er zu Docker geleitet. Wenn der Traffic jedoch aus dem Docker-Netzwerk kommt, wird er zurückgegeben und von der INPUT-Kette abgelehnt oder verworfen.
Was ufw allow https tut, ist das Hinzufügen einer Regel zur INPUT-Kette, die sie akzeptiert. Auf diese Weise wird die Verbindung, wenn sie wie oben zur INPUT-Kette zurückgegeben wird, akzeptiert und findet Docker, das lauscht, und wird schließlich an den Container weitergeleitet.