Недавно обнаружил, что трафик через докер идет в обход "обычных" правил фаервола. Если взять зафаерволенную машину и запустить на ней контейнер докера, который публикует порт: dima@server:~$ docker run --rm -p 8123:8123 yandex/clickhouse-server То этот порт будет доступен для всего интернета: dima@home:~$ curl http://webserver.ru:8123/