История изменений

Это не виртуальная сеть, просто jail им 0.0.0.0 завернёт на назначенные контейнерам хостовые айпи-адреса на каком-то хостовом сетевом интерфейсе. Все аспекты видимости этих айпи-адресов из других мест управляются обычным сетевым конфигом хоста (интерфейсы, роутинг, файрволл). Если выдашь приватные айпи - будут видны только внутри, выдашь публичные - будут видны и с других хостов, на поведение внутри контейнера это не повлияет.

Если это всё ещё и работает без костылей вроде линуксового iptables

Если ты выдашь приватные адреса и хочешь чтобы они могли с них ходить в интернет - то логично потребуется нат, он обычно в файрволле. В остальных случаях вроде можно без.

Но виртуальная сеть тоже есть (называется VIMAGE), но ей почти никто не пользуется т.к. это лишние сложности ради непонятно чего.

Это не виртуальная сеть, просто jail им 0.0.0.0 завернёт на назначенные контейнерам хостовые айпи-адреса на каком-то хостовом сетевом интерфейсе. Все аспекты видимости этих айпи-адресов из других мест управляются обычным сетевым конфигом хоста (интерфейсы, роутинг, файрволл). Если выдашь приватные айпи - будут видны только внутри, выдашь публичные - будут видны и с других хостов, на поведение внутри контейнера это не повлияет.

Если это всё ещё и работает без костылей вроде линуксового iptables

Если ты выдашь приватные адреса и хочешь чтобы они могли с них ходить в интернет - то логично потребуется нат, он обычно в файрволле. В остальных случаях вроде можно без.