uff largo....
si es preferible el uso de contenedores, porque no te obliga a virtualizar hardware (es el problema con la vm más allá de tener que cargar el kernel)
Pero si podría tener acceso a 192.168.0.100
iptables, todo lo que vaya para 192.168.0.0/16 se bloquea, excepto el gateway...
Finalmente, y con motivos de administración supongo que en cada container debería incluir un servidor SSH muy bien configurado, con buenas contraseñas, tal vez implementando un port knocking
port knocking?
en ssh con desactivar el acceso a usuario root y limitarlo a un usuario personalizado hiciste ya más de la mitad del trabajo de seguridad, porque tienen que dar con la conbiación user:pass a ciegas para ambos...
container 3: servidor FTP + servidor SSH
yo no agregaría ftp, hoy dia no hay basicamente utilidades para ese protocolo, si quisieras acceder a archivos, está https o ssh (scp)...