потому что ufw это надстройка над iptables
и она ограничена выделенными для нее в iptables цепочками вида ufw-*
а у демона docker-а свои цепочки DOCKER-*
ну и ufw может манипулировать своими цепочками а демон docker-а своими
команда iptables-save покажет все цепочки и правила