на своем хосте я создал 2 macvlan-интерфейса в режиме моста. Один в пространстве имен main-network, другой в контейнере Docker. Оба интерфейса находятся в одной подсети.
Пока все работает.
Теперь трафик к хосту и контейнеру должен фильтроваться по iptable-rules.
Поскольку оба macvlan-интерфейса подключены к одному и тому же физическому интерфейсу, мне сложно понять, как он работает.
Нужно ли ставить iptable-rules для контейнера и хоста. (потому что они находятся в разных пространствах имен) Или хост может каким-то образом фильтровать трафик в контейнер?
Изолированы ли macvlan-интерфейсы или они видят трафик друг от друга?
Есть ли "лучшие практики"?