C’est une situation distincte, bien que liée. Il s’agit de connexions provenant de l’extérieur et Docker ajoute des règles pour autoriser le passage des ports exposés.
Je ne suis pas très familier avec les règles de chaînes netfilter/iptables, mais je pense que ce qui précède montre :
- Si la connexion provient de
docker0, c’est-à-dire du réseau Docker par défaut, retournez à la chaîne précédente (arrêtez le traitement des règles dans cette chaîne). - Sinon, si la connexion provient de tout sauf de
docker0, s’il s’agit également de https ou http, spécifiez DNAT, ce qui la fera passer à la chaîne FORWARD.
Ainsi, avec l’agencement montré dans l’autre sujet, si le trafic https ou http arrive de l’extérieur, il est dirigé vers Docker. Si le trafic provient du réseau Docker, il sera retourné et rejeté ou abandonné par la chaîne INPUT.
Ce que fait ufw allow https, c’est d’ajouter une règle à la chaîne INPUT qui l’accepte. De cette façon, lorsque la connexion est retournée à la chaîne INPUT comme ci-dessus, elle sera acceptée et trouvera Docker à l’écoute, étant finalement acheminée vers le conteneur.