Questa è una situazione separata, sebbene correlata. Si tratta di connessioni in arrivo dall’esterno e Docker aggiunge regole per consentire il passaggio delle porte esposte.
Non ho molta familiarità con le regole delle catene netfilter/iptables, ma credo che quanto sopra mostri:
- Se la connessione proviene da
docker0, ovvero dalla rete Docker predefinita, ritorna alla catena precedente (interrompe l’elaborazione delle regole in quella catena). - Altrimenti, se la connessione proviene da qualsiasi altra cosa tranne
docker0, se è anche https o http, specifica DNAT causandone il passaggio alla catena FORWARD.
Quindi, con la disposizione mostrata nell’altro argomento, ciò che accade è che se il traffico https o http proviene dall’esterno, viene indirizzato a Docker. Se invece il traffico proviene dalla rete Docker, verrà restituito e rifiutato o scartato dalla catena INPUT.
Ciò che fa ufw allow https è aggiungere una regola alla catena INPUT che la accetta. In questo modo, quando la connessione viene restituita alla catena INPUT come sopra, verrà accettata e troverà Docker in ascolto, venendo infine instradata al container.