Я нашел этот вопрос на Serverfault, но ответ просто предоставил альтернативы вместо того, чтобы на самом деле детализировать последствия. Мне пришлось установить для DEFAULT_FORWARD_POLICY значение "ПРИНЯТЬ", чтобы иметь возможность подключаться к моим док-приложениям, даже за обратным прокси-сервером nginx. Тем не менее, он все еще безопасен, так как попытка доступа к указанным приложениям с помощью http://droplet-ip:app-port не будет работать, в то время как http://app-domain работает. Есть ли какие-либо серьезные последствия для DEFAULT_FORWARD_POLICY "ACCEPT"?