История изменений
Исправление kostik87, (текущая версия) :
Он создаёт отдельные цепочки правил для виртуальных интерфейсов каждой отдельной сети контейнеров.
При запуске контейнера, что просто через docker, что docker compose (docker-compose) создаётся отдельный namespace и отдельный адаптер, правилами iptables он управляет трафиком внутри этих сетей.
Это если не делается проброс портов из этих сетей на ХОСТ интерфейс. Если делается - тут уже NAT нужен.
Т.е. по сути трафик, во первых изолируется в каждой отдельной группе (сети) контейнеров, во вторых - делается проброс, если нужно.
Исходная версия kostik87, :
Он создаёт отдельные цепочки правил для виртуальных интерфейсов каждой отдельной сети контейнеров.
При запуске контейнера, что просто через docker, что docker compose (docker-compose) создаётся отдельный namespace и отдельный адаптер, правилами iptables он управляет трафиком внутри этих сетей.
Это если не делается проброс портов из этих сетей на ХОСТ интерфейс. Если делается - тут уже NAT нужен.