Пришлось отключить в docker использование iptables, потому, что по умолчанию добавляется правило:

-A FORWARD -i docker0 ! -o docker0 -j ACCEPT

Которое разрешает подключаться извне без возможности управлять этим, т.к. эти правила добавляются автоматически после запуска iptables.

И еще не удобно то, что при выполнении команды systemctl restart iptables теряются …

Создаем override.conf для сервиса docker командой systemctl edit docker.service:

[Service]
ExecStartPre=/usr/bin/env install -m 711 -o root -g root -vd /var/lib/docker_ /var/lib/docker
ExecStartPre=/usr/bin/env mount -t tmpfs none /var/lib/docker
ExecStartPre=/usr/bin/env rsync -a /var/lib/docker_ …