这是另一种情况,尽管有关联。那是来自外部的连接,Docker 会添加规则以允许暴露的端口通过。
我对 netfilter/iptables 链规则不太熟悉,但我认为上面的内容显示:
- 如果连接来自
docker0,即来自默认的 Docker 网络,则返回到上一个链(停止在该链中处理规则)。 - 否则,如果连接来自
docker0以外的任何地方,如果它也是 https 或 http,则指定 DNAT,使其继续进入 FORWARD 链。
因此,在另一个主题中显示的安排中,如果 https 或 http 流量来自外部,它将被定向到 Docker。但是,如果流量来自 Docker 网络,它将被返回并被 INPUT 链拒绝或丢弃。
ufw allow https 的作用是在 INPUT 链中添加一条接受规则。这样,当连接按上述方式返回到 INPUT 链时,它将被接受并找到正在侦听的 Docker,最终被路由到容器。