Сетевая изоляция в podman никакая. Нужно было доработать nftables напильником. И всё равно я слабо понимаю, почему оно работает, так как сгенерированные podman правила с приоритетом 0, а я работаю с приоритетом 20