Benne volt az eredeti felvetésben. Ha az alapértelmezett bridge módot használod és a docker-ben nem kapcsolod ki az iptables-t, akkor új chaint hoz létre magának, és ez az új chain nem illeszkedik az ufw struktúrájába.
Ez host módban egyébként nem igaz, az viszont a ne használd dolog.
Megoldásnak leginkább az tűnik, hogy a dockertől elvesszük az iptables-t és egy firewalld-vel szépen betűzfalattuk az egészet.