Mikrotik не підтримує маску мережі /31 або 255.255.255.254

Тобто якщо провайдер видає такі адреси, то треба буде дещо змінити, бо отримаєте route unreachable

Для прикладу є наш IP 10.250.250.53/31 на ether1
У провайдера 10.250.250.52/31
В дистрибутивах впроваджується nftables, а разом з ним, нібито для швидкого переходу, firewalld.
Провівши два роки (чи більше, хто ж рахує) з firewalld, зробив для себе висновок - користуватися firewalld я не буду.
Тому, для швидкого входу в nftables, виділив основні моменти, які потрібні особисто мені.
Бывает (часто бывает) нужно увеличить объем диска в виртуальной машине QEMU-KVM. Это конкретный пример для конкретных условий: 
Диск в виртуальной машине при разметке использует LVM и XFS
Часто используемые команды rsync
OpenVPN сервер на базе CentOS. В этом конкретном случае CentOS 8. На Stream 8 и Stream 9 еще не перекочевал. Пример конфигов для быстрого поднятия с нуля.
iotop начал выдавать интересную вещь: 
загрузка IO 99% от процесса [kworker/u16:0+flush-8:112]
После поисков вариантов проблемы оказалось, что knot-resolver имеет персистентный кеш на жестком диске.
Встановлення Docker в моєму варіанті дещо ускладнено.
Я не хочу використовувати дефолтовий firewalld і iptables.
Наразі firewalld не підтримує збереження правил nftables, які вносяться через nft, тому при рестарті все вилітає. 
А сам він не підтримує SNAT.
Плюс мені не подобається ідея ввімкнення маскарадінгу для всіх. Я хочу старий добрий Source NAT.
І завжди краще знати що відбувається під капотом та як працює, щоб не виникало сумних історій під час дебага.
Тому тут буде більше про nftables і як вимкнути в докері дефолтовий фаєрвол.