Это отдельная ситуация, хотя и связанная. Речь идет о входящих соединениях извне, и Docker добавляет правила, разрешающие доступ к открытым портам.
Я не очень хорошо знаком с правилами цепочек netfilter/iptables, но полагаю, что вышеизложенное означает следующее:
- Если соединение приходит с
docker0, то есть из сети Docker по умолчанию, возврат в предыдущую цепочку (прекратить обработку правил в этой цепочке). - В противном случае, если соединение приходит из любого источника, кроме
docker0, и оно является https или http, применяется DNAT, что перенаправляет его в цепочку FORWARD.
Таким образом, при конфигурации, показанной в другой теме, происходит следующее: если извне поступает трафик https или http, он перенаправляется в Docker. Однако если трафик поступает из сети Docker, он возвращается и отклоняется или отбрасывается цепочкой INPUT.
Команда ufw allow https добавляет правило в цепочку INPUT, разрешающее такой трафик. Таким образом, когда соединение возвращается в цепочку INPUT, как описано выше, оно принимается, и Docker, прослушивающий порт, получает запрос, который в конечном итоге маршрутизируется к контейнеру.