Eu achei istoperguntaperguntado no Serverfault, mas a resposta apenas forneceu alternativas em vez de realmente detalhar as implicações. Tive que definir DEFAULT_FORWARD_POLICY como "ACCEPT" para poder me conectar aos meus aplicativos docker, mesmo atrás de um proxy reverso nginx. No entanto, ainda parece seguro tentar acessar esses aplicativos porhttp://droplet-ip:app-portnão funcionará enquantohttp://app-domainfaz. Há alguma repercussão séria em ter DEFAULT_FORWARD_POLICY "ACCEPT"?