Как комильфотно выставить контейнеры в ванильном LXC наружу?

На старости лет открыл для себя контейнеры. Конкретно — LXC, конкретнее — совсем ванильный LXC, безо всякого LXD (ибо snap). И возник вопрос: а как по науке организовывать взаимодействие контейнеров со внешним миром, учитывая ограниченность «ванильного» решения? Для LXD, а тем более proxmox/docker/incus советов навалом, а про ванильные контейнеры как-то не особо.

Пока что мне на ум приходит только фиксирование IP за конкретными контейнерами через настройки LXC и создание правил файрволла для маршрутизации на основе тех же номеров портов средствами штатного файрволла системы, но тогда всё равно придётся дублировать порт-форвардинг на маршрутизаторе нормальной сети. Другой вариант — выставить контейнеры наружу через реальный физический интерфейс и сетевой мост, и всю переадресацию повесить уже на маршрутизатор сети, который им же и адреса назначит, и всё что нужно. Варианты с проксированием и macvlan — это уже из LXD.

По идее, даже в локальном применении правил файрволла нет ничего криминального, если принять аксиоматически, что контейнеры создаются с серьёзными целями: скажем, один и вполне конкретный — будет веб сервером, другой — торренты обслуживать, третий ещё что-то конкретное делать. И тогда нет проблем их всех «прибить гвоздями» через правила файрволла и статические ip в собственной локальной сетке, создаваемой LXC. Но всё-таки как-то гложет сомнение. А как «идеологически правильно» это сделать, в условиях, опять-таки, применения сугубо средств LXC и штатных средств ОС?