Трафик UDP извне в контейнер докера отбрасывается после перезапуска контейнера

Следующая ситуация: у меня есть аппаратная коробка с Ubuntu 14.04LTS в качестве хоста для докера 1.4. Я запускаю стек ELK в нескольких контейнерах. В настоящий момент контейнер logstash предоставляет только порт 514 для сбора входных данных системного журнала.

в некоторых ситуациях после перезапуска контейнера трафик syslog больше не перенаправляется в контейнер.

'iptables -nvL' показывает, что нет трафика, соответствующего правилу, применяемому к цепочке пересылки во время запуска контейнера. Счетчик трафика в цепочке INPUT значительно выше, чем в цепочке FORWARD.

Я замечаю такое поведение на всех контейнерах, которые предоставляют миру UDP-порты, контейнеры со службами на основе TCP работают как положено.

перезапуск контейнеров и службы Docker безуспешен.

В основном я собираю журналы трафика межсетевого экрана, поэтому поток трафика системного журнала довольно постоянен. Я собираю около 1,5 тыс. Ловушек системного журнала в секунду.

Мой обходной путь заключается в том, чтобы остановить весь трафик к хосту примерно на 10 секунд (в настоящее время путем черного трафика на восходящем маршрутизаторе).

После остановки экспорта системного журнала на одном узле брандмауэра на несколько секунд трафик с этого конкретного брандмауэра перенаправляется в контейнер, как и ожидалось. Но только от этого единственного.

Я думаю, что это проблема iptables. Похоже, что iptables кэширует информацию переадресации на несколько секунд и игнорирует все новые применяемые правила, пока присутствует трафик.

Я не делал никаких дополнительных настроек на iptables здесь. Все сделано докером. У меня нет UFW, Conntrackd или что-нибудь установлено.

Кто-нибудь подсказывает, как решить эту проблему?

с наилучшими пожеланиями Андреас