turns out some container-to-host connections pass through the FORWARD chain, and some pass through the INPUT chain.  hmm.  well whatever.  got it now.<br>