Me he estado preguntando acerca de esto.
Suponga que un host tiene una configuración fuerte de firewall (por ejemplo, solo permite el puerto 80). Ese host tiene algunas máquinas virtuales sin firewall.
¿Por qué las conexiones realizadas en estas máquinas virtuales no son rechazadas por el firewall en el host? Al final, la máquina virtual es solo un programa que se ejecuta en el host como cualquier otro programa.
Si está ejecutando una máquina virtual y el firewall no la filtra, es probable que esté funcionando en modo puente en L2 debajo de la vista de paquetes del firewall. Para diagramar:
network card --|-- firewall ---- applications
|
VM
Si estás hablando de Linux, una pregunta de Serverfault también discute esto, y hay parches de kernel para cambia este comportamiento con iptables . También hay ebtables , que está diseñado específicamente para el filtrado de interfaces puenteadas.
Lea otras preguntas en las etiquetas firewalls virtualization