никто случаем не сталкивался - к macos, подключенной к anyconnect vpn, невозможно достучаться по VNC из локалки , хотя режим split-exclude и локальная сеть в unsecured routes. Фаерволы никакие не включены, пинговать все еще можно.
nft не имеет полной поддержки того что есть в ipt (этот разрыв сокращается, но может оказаться что именно вам не повезёт) + были статьи на тему деградации перфоманса в отдельных кейсах у nft