...
- Доступ к docker-контейнерам фильтруется в цепочке
DOCKER-USER, а доступ к приложениям хост-системы — традиционно в цепочкеINPUT. - Для разрешающих правил цепочки
DOCKER-USERприменяется действиеRETURN, потому что трафик дальше продолжает обрабатываться служебными правилами Docker Engine. - Порты назначения в
DOCKER-USERопределяются с помощью модуляconntrack, поскольку на данном этапе пакеты уже прошли через DNAT и порт назначения изменился на порт внутри контейнера.
Рекомендации
Список правил iptables стоит вести в отдельном файле (например, в /etc/network/iptables.up.rules) и загружать в систему до запуска Docker Engine.
...