Попробуй так:
/sbin/iptables -I FORWARD 1 -s xxx.xxx.xxx.xxx -p tcp --dport 27017 -j ACCEPT
/sbin/iptables -I FORWARD 2 ! -s 172.16.0.0/12 -p tcp --dport 27017 -j DROP
Только это нужно выполнять после старта сервиса докера иначе эти правила окажутся внизу. Ну и после рестарта сервиса тоже нужно их обновлять, эту часть пока не победил.