O primeiro passo seria certificar-se de executar cada uma das imagens docker dentro de seu próprio namespace de rede e, em seguida, preencher cada uma delas com interfaces virtuais; talvez idealmente uma interface para a "rede local" (não perturbada) e outra interface para a "rede de área ampla (perturbada)".
Cada interface da rede local seria "conectada" à sua própria interface nos namespaces globais e, em seguida, todos eles seriam adicionados a uma ponte. Essa configuração forneceria ao "cabeamento" da rede local. Você pode então precisar adicionar um serviço DHCP nessa rede ou usar as atribuições estáticas.
Cada interface WAN também seria conectada à sua própria interface no namespace global e, da mesma forma, todas elas seriam adicionadas a outra ponte, representando o cabeamento da "WAN". Essa ponte também teria um IP de host principal, para permitir que o tráfego WAN simulado escape para a WAN "real". Para isso, você deve configurar as regras do iptables para canalizar o tráfego e causar distúrbios alterando essas regras.
Se você quiser que os distúrbios sejam aplicados de maneira diferente para diferentes estivadores, você talvez não os reunisse em uma ponte, mas, em vez disso, você precisaria ter regras de canalização individuais e manipulá-las para distúrbios individuais. Ou, alternativamente, você os coloca em uma ponte e, em vez disso, manipula seu cabeamento virtual (que conecta cada um com sua interface associada em um namespace)