Недавно обнаружил, что трафик через докер идет в обход "обычных" правил фаервола.
Если взять зафаерволенную машину и запустить на ней контейнер докера, который публикует порт:
dima@server:~$ docker run --rm -p 8123:8123 yandex/clickhouse-server
То этот порт будет доступен для всего интернета:
dima@home:~$ curl http://webserver.ru:8123/