Docker Macvlan с iptables/netfilter

На моем хосте я создал 2 macvlan-интерфейса в режиме моста. Один в пространстве имен main-network, другой в контейнере Docker. Оба интерфейса находятся в одной подсети.

Пока все работает.

Теперь трафик к хосту и контейнеру должен быть отфильтрован по iptable-правилам.

Поскольку оба macvlan-интерфейса подключены к одному физическому интерфейсу, мне сложно понять, как он работает.

Нужно ли ставить iptable-rules для контейнера и хоста. (потому что они находятся в разных пространствах имен) Или хост может каким-то образом фильтровать трафик в контейнер?

Изолированы ли macvlan-интерфейсы или они видят трафик друг от друга?

Есть ли "лучшие практики"?