Essa é uma situação separada, embora relacionada. São conexões vindas de fora e o Docker adiciona regras para permitir a passagem de portas expostas.
Não sou muito familiarizado com as regras de cadeia netfilter/iptables, mas acredito que o acima mostra:
- Se a conexão estiver vindo de
docker0, ou seja, da rede docker padrão, retorne para a cadeia anterior (pare de processar as regras nessa cadeia). - Caso contrário, se a conexão estiver vindo de qualquer coisa que não seja
docker0, se for também https ou http, especifique DNAT fazendo com que ela avance para a cadeia FORWARD.
Portanto, com o arranjo mostrado no outro tópico, o que acontece é que se o tráfego https ou http vier de fora, ele será direcionado para o docker. Se o tráfego vier da rede docker, no entanto, ele será retornado e rejeitado ou descartado pela cadeia INPUT.
O que ufw allow https faz é adicionar uma regra à cadeia INPUT aceitando-a. Dessa forma, quando a conexão for retornada para a cadeia INPUT como acima, ela será aceita e encontrará o docker escutando, sendo finalmente roteada para o contêiner.