Вот эта чудесная команда
lxc config device add mail-server 25 proxy listen=tcp:0.0.0.0:25 connect=tcp:localhost:25
«пробросит» 25 порт таким образом, что любой коннект из инета на lxc с именем mail-server по 25 порту будет приходить не с инетовского ip , а с 127.0.0.1, что очень мило, ибо практически всегда у postfix в mynetworks прописан 127.0.01, а mynetworks соответственно прописан в качестве исключения ко всем правилам и «здравствуй OpenRelay!» и «добро пожаловать в спам базы!» и хрен отмоешься.
Это актуально не только для smtp , на любом сервисе с таким «пробросом» ты будешь видеть в логах только 127.0.0.1
Тем не менее изначальная идея неплоха, потому что по умолчанию контейнеры висят под DHCP и чтобы сделать iptables динамическими придется изобретать костыли.
Вопрос: а умеет ли эта поделка от LXD показывать нормальный IP?
Может я что-то упустил, и есть еще какой-нибудь хитрый флаг?