Привет, народ. Нужна подсказка по работе docker контейнеров на хосте, где есть два интерфейса - eno1 (lan) и wg0 (wireguard), при том, что через wg0 идет 0.0.0.0/0.

Проблема следующая. Если wg0 отключен, то контейнеры, у которых дефолтная docker0 сеть, т.е. не network=host, могут подключаться без ограничений ко всему и в пределах lan, и за пределами (1.1.1.1, линукс.орг.ру и т.д). Как только я поднимаю wg0, доступ у контейнеров ко всему, кроме lan, пропадает.

Правила nftables на хосте такие:

chain forward {
    type filter hook forward priority 0; policy accept
    ct state established, related accept
    iifname $DOCKERIFC oifname { $MAINIFC, $VPNIFC } accept
    oifname $DOCKERIFC iifname { $MAINIFC, $VPNIFC } accept
}
  chain postrouting {
    type nat hook postrouting priority srcnat; policy accept
    ct state invalid drop
    oifname $MAINIFC ip saddr $DOCKERNET snat to $SERVIP
    oifname $VPNIFC ip saddr $DOCKERNET snat to $SERVIP_VPN
}

DOCKERIFC, MAINIFC, VPNIFC - интерфейсы докера, wan и wg соответственно. DOCKERNET - сеть докера, SERVIP - лан адрес хоста, SERVIP_VPN - wg адрес хоста.

Чую, что проблема в правилах построутинга, но не могу понять, в чем конкретно.

Сори за небольшой кликбейт.

Меня заинтересовала концепция nixos. Исключительно с точки зрения возможности не переживать, что следующее обновление программы мне все сломает, и нужно будет разбираться с откатами на предыдущие версии и прочие сопутствующие неприятности.

Вопросы следующие.

• Если использовать nixos в первую очередь для роллбеков состояния при проблемах после обновлений, как его можно охарактеризовать (проще/сложнее/удобнее) по сравнению со снапшотами (btrfs/zfs)?

• Где-то можно посмотреть исчерпывающий перечень софта, конфиги которого поддерживаются никсом?

• Как повлияет неиспользование конфига какой-то софтины внутри никса? Например, vim. Я не хочу иметь конфиг в никсе, потому что могу несколько раз в день менять конфиг, и изменения там не несут какой-то опасности для стабильности системы.

• Прочитал на реддите, что даже в последней версии 21.05 все плохо с настройкой фильтрации трафика через iptables, потому что что-то там не успевает примениться и в итоге правила не работают как надо. Как вы это обходите?

• Если сравнивать арч и никсос с точки зрения качества сопровождения пакетов, где по вашему мнению лучше тестируются программы перед публикации в стабильной ветке?