Меня тоже интересует этот вопрос. У меня 5 pve-нод, на каждой есть chr, между chrs проброшены туннели EoIP, в туннелях идут VLAN — это большая сложная структура, распределённая по дата-центрам в разных странах. И я был очень рад появлению SDN в Proxmox 8, но мне действительно нужна переадресация портов с внешних интерфейсов нод на VM/LXC. Хотелось бы понять архитектуру и как это правильно настроить.

Итак, для тех, кто хочет использовать SDN, но *НЕ* хочет заморачиваться с пробросом портов... https://thelinuxforum.com/articles/924-how-to-create-a-private-nat-network-interface-on-proxmox-ve-8 отлично работает. Просто шикарно. Делает ровно то, что обещано. Без проблем. Жизнь прекрасна. За исключением ОДНОГО: я совсем не понимаю, как правильно настроить проброс портов. У меня есть машина, которую я выбрал для NAT в новой сети 10.10.10.100/24. Мне удобно назначить ей адрес 10.10.10.2. Я бы гораздо предпочёл продолжать управлять сетью через SDN с помощью графического интерфейса. Я понимаю, что проброс портов *НЕ* поддерживается в SDN вообще, хотя до сих пор не могу понять, почему этот функционал не включили с самого начала.

Итак, мои вопросы, один, конечно, зависит от другого:  
1) Нужно ли полностью отказаться от SDN и вручную повторить то, что SDN делает, только чтобы получить проброс портов?  
2) Если да, то какая сейчас лучшая инструкция, чтобы полностью (но вручную) повторить то удобство, которое мне даёт SDN, и при этом добавить проброс портов?  
3) Если не нужно полностью отказываться от SDN, есть ли ссылка или руководство, как настроить IPTables для PVE 8.3.0 и при этом так же управлять сетью через SDN, что для меня предпочтительнее?  
4) И, конечно же: не планирует ли Proxmox в ближайшем будущем добавить проброс портов в SDN/NAT? Это реально большой пробел в возможностях использования NAT для виртуалок.

ПРИМЕЧАНИЕ: Пока я думаю над проблемой, наткнулся на https://bobcares.com/blog/setup-nat-on-proxmox/ — там объясняют, как это сделать вручную, ковыряясь в /etc/network/interfaces. Я пробовал следовать инструкции месяц назад, но быстро запутался, пытаясь настроить два сетевых интерфейса, чтобы сохранить маршрутизацию для некоторых виртуалок через LAN и при этом сделать NAT для всех остальных. Казалось, что я лезу в части, которые нельзя трогать пользователю, а портить PVE мне совсем не хочется.  
https://forum.proxmox.com/threads/nat-and-port-forwarding.108667/ советуют использовать "PFSense" и ковыряться с одним из интерфейсов.

Команда `iptables -t nat -L --line-numbers` выводит таблицу, в которой я хотя бы могу что-то понять:  
Chain POSTROUTING (policy ACCEPT)  
num  target  prot  opt  source         destination  
1    SNAT    all   --   10.10.10.0/24  anywhere  to:192.168.1.2  
2    SNAT    all   --   10.10.10.0/24  anywhere  to:192.168.1.2  

Странно, что правило там дважды, но оно работает, и я не буду из-за этого волноваться.  
Я думаю, что могу порыться с пробросом портов на примерах, но не понимаю, *куда* именно вставлять правила, чтобы система загружала их вовремя. Думаю, это должно происходить после правил SNAT, которые SDN добавляет при загрузке PVE. Но я понятия не имею, как это гарантировать и насколько это важно.  
Похоже, что ещё нужно включить флаг проброса портов в ядре. Похоже, это делается в скрипте /etc/network/interfaces, и, возможно, именно там стоит добавить часть с пробросом портов в IPTables.  

Ладно, я посмотрел /etc/network/interfaces.d/sdn и там есть файлы, с которыми можно поэкспериментировать, чтобы добавить проброс портов. Посмотрю, что можно сделать, чтобы всё работало как нужно на примерах.