Если машины имеют белые IP значит они соединены с роутером который их в интернет пускает, по бриджу или еще как. Вот там и нужно настраивать точно также как вы бы это делали для обычных машин. Если вы сделали локальную сеть и нужно ограничить какие контейнеры что видят (сделать им как бы виртуальную локалку), используйте обычный netfilter.
