j'avais oublié ce détail. En effet, j'ai bloqué le fait que Docker puisse manipuler les iptables sur mes serveurs (iptables=false dans /etc/docker/daemon.json).
Dans tous les cas, le script "by name" permet de bloquer les connections en fonction du nom, donc même si docker a ouvert un port, on ne devrait pas arriver à communiquer avec le tracker.
Pour les trackers qui ne fonctionnent qu'en IP (s'il y en a), les règles DROP passent avant les règles ACCEPT (règle -I du script, qui place les règles en premier), donc ça devrait bien bloquer, mais je n'ai pas de quoi tester sous la main.