iddqda

в логротэйт.конф добавь copytruncate

Truncate the original log file to zero size in place after creating a copy, instead of moving the old log file and optionally creating a new one. It can be used when some program cannot be told to close its logfile and thus might continue writing (appending) to the previous log file forever. Note that there is a very small time slice between copying the file and truncating it, so some logging data might be lost. When this option is used, the create option will have no effect, as the old log file stays in place.

выделить отдельный гостевой SSID приземляющий пользователей в отдельный изолированный влан с доступом только в интернет
вайфай с доступом в локалку реализовать через EAP/TLS для чего на убунте настроить freeradius
в локалке выделить сервера в отдельный влан
про unifi router ничего не знаю, беглый гуглеж обнаружил некий USG - unifi security gateway
если это оно то судя по его названию все политики безпасности дальше пилить на нем
отдельные политики реализовывать на сервисах т.е. 1с фтп и тп

кстати зачем фтп? оно было неудобно еще в 90-е
на ту же убунту водрузи nextcloud

з.ы. фтп, 1с и 90 юзеров ... в таком месте отдельный инфбезопасник застрелится от скуки

вытащить патчкорды из тех двух компов, и дернуть за них посильнее

тут два варианта: маршрутизатор или файрвол
дальше вам решать что вам больше подходит под ваши задачи
1. минимальный рухтер, который протащит 100 метров - ISR4331/K9
правда надо понимать что цискина производительность считается как сумма входящего трафика по всем интерфейсам. т.е. если вам надо загрузить 100 метров в обе стороны то по цискиной математике это уже 200 метров
тут либо брать модель 4351 либо докупать к 4331 perfomance license на 300М (оно right to use так что если совесть позволит можно сэкономить)
кроме IPSec получите стандартные фишки маршрутизации: динамику, PBR, VRF, QoS, итп
плюс к этому вся ISR серия умеет в телефонию

2. файрвола хватит самого простого FPR1010-NGFW-K9
он протащит теже 300 метров как 4331 с лицензией
при этом дополнительно получите стейтфул файрвол, IPS и прочие секурити фишки если они нужны (большинство по подписке)

з.ы. маршрутизатор работает под IOS-XE и та же OS используется на всех коммутаторах каталист (это к вопросу о в будущем все на циско)
а вот в файрволах все не так
там ASA или FXOS

потому что ufw это надстройка над iptables
и она ограничена выделенными для нее в iptables цепочками вида ufw-*
а у демона docker-а свои цепочки DOCKER-*

ну и ufw может манипулировать своими цепочками а демон docker-а своими

команда iptables-save покажет все цепочки и правила

random.choice((5,5,5,5,5,5,5,5,7,7))

https://github.com/nextcloud/nextcloud-snap/blob/m...

вот тут почитайте как работает сеть в compose
https://docs.docker.com/compose/networking/
для вашего случая наверное стоит обратить внимание на два предложения

By default Compose sets up a single network for your app. Each container for a service joins the default network and is both reachable by other containers on that network, and discoverable by them at a hostname identical to the container name.

Instead of just using the default app network, you can specify your own networks with the top-level networks key. This lets you create more complex topologies and specify custom network drivers and options. You can also use it to connect services to externally-created networks which aren’t managed by Compose

короче, если Вы НЕ указываете networks в docker-compose, то compose использует default bridge и сам увязывает контейнеры по имени между собой.
Если указываете кастомный network (openweb-network в вашем случае) то с именами придется возиться самому

и эта ...

Адрес хоста в локальной сети - 192.168.1.104. До сего дня все контейнеры свободно "общались" между собой, используя этот IP

нет это не так работает. У контейнеров своя сеть openweb-network. Адрес можно посмотреть командой
docker network inspect openweb-network