Ich glaube, dass für dein Problem NAT nicht geeignet ist.
Bei einer Anfrage auf eine Internetseite im öffentlichen Netz wird im TCP-Protokoll als ZIel Port z.B. Port 80 bzw. 443 (für http bzw https) eingetragen und als Quell -Port eine zufällige Nummer vergeben. Der Router merkt sich diese Zufallsnummer in Verbindung mit der privaten IP des anfragenden Hosts aus dem internen Netz. Dann ersetzt (daher der Name NAT) der Router die private IP-Adresse des anfragenden Hosts durch seine öffentliche IP Adresse und adressiert so den externen Webserver (Ports bleiben 80 bzw. 443). So funktioniert der Zugriff nach außen. Die Antwort des Webservers wird dann an die öffentliche IP-Adresse des Routers gesendet mit dem Zufallsport von eben. Anhand dieses Ports kann der Router wieder seine öffentliche IP durch die private IP des Hosts ersetzen.
Umgedreht geht das dann halt eben nicht mehr. Da ist der Zielport z.B. 80 und der zufällige Quellport gehört nicht in unser Netzwerk. Das geht dann nur mit Portforwarding.
Im Bridged-Modus kann man z.B. eine feste IP-Adresse vergeben, über diese ist der Container dann erreichbar. Da muss am virtuellen Switch eigentlich nix gemacht werden, du solltest die Adressen halt aus dem gleichen Netz verwenden.