ON NE JOUE PAS AVEC LE FIREWALL

Docker applique ses propres règles pour “magiquement” faire marcher le NAT et l’accès réseau sans que l’utilisateur se casse la tête. Mais pour quelqu’un qui maîtrise et veut contrôler son pare-feu, ça ressemble plus à un  hijack  intempestif et çà dérange.

Ce que ça traduit :

• Docker privilégie la  facilité pour le grand public  → au détriment de la transparence. 

• Il te met devant un fait accompli : tes chaînes  DOCKER  apparaissent dans  nft , sans que tu l’aies demandé, et sans persistance claire dans  /etc/nftables.conf . 

• Ça brouille la frontière entre l’infra (que tu gères) et cet "orchestrateur" qui impose ses règles. 

• C’est un  choix d’ergonomie , pas d’ éthique  —> ça retire la responsabilité et le contrôle aux sysadmins.