Docker und nftables gemeinsam ans Laufen zu bringen, ohne das der eine die Konfiguration des anderen durcheinander bringt, scheint ein Ding der Unmöglichkeit. Alle Ansätze haben ihre Nachteile und sind teilweise arg gefrickelt.
Der vielversprechendste erscheint mir dieser zu sein: https://wiki.archlinux.org/title/Nftabl ... ith_Docker, weil er Docker in einen eigenen Namespace packt, wodurch man (theoretisch) die nftables-Konfiguration ohne Rücksicht auf Docker anlegen kann (bis auf einen kleinen Eintrag).
Leider schlägt damit der Start von Docker mit dieser Meldung fehl:
Code: Alles auswählen
Okt 26 16:05:51 server01 systemd[1]: Starting Docker Application Container Engine...
Okt 26 16:05:51 server01 sh[27458]: Error: argument "" is wrong: Invalid "netns" value
Okt 26 16:05:51 server01 systemd[1]: docker.service: Control process exited, code=exited, status=255/EXCEPTION
Okt 26 16:05:51 server01 systemd[1]: docker.service: Failed with result 'exit-code'.
Okt 26 16:05:51 server01 systemd[1]: Failed to start Docker Application Container Engine.Code: Alles auswählen
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'Danke im Voraus, Piotrusch