Как разрешить приложениям в сетевом пространстве имен доступ к глобальной файловой системе?

У меня есть несколько приложений с потенциально высоким уровнем риска и высокой пропускной способностью (например, bind, ntpd и т. Д.). Я планирую иметь "домен управления" для задач ОС, обновлений, SNMP, автоматизации и т. Д. И "домен обслуживания", который включает только те демоны, с которыми я предоставляю услуги.

Я успешно создал для них сетевые пространства имен, назначил выделенные IP-адреса, дискретные маршруты и т. Д. Я хотел бы иметь возможность использовать IPtables для регистрации определенных действий, затрагивающих демоны в пространствах имен (уникальные устройства, запрашивающие рекурсивный поиск на DNS и т. Д.), но я не могу заставить цель "LOG" в IPtables работать. Я попытался запустить демон syslog внутри ns, но он все еще не работает. Возможно, он захочет записать в глобальную файловую систему и не получить разрешение. Я немного новичок в пространствах имен, поэтому любые мысли приветствуются.