Cómo evitar que una máquina host envíe o reciba paquetes con la siguiente configuración de red:
eth0
- NIC física :: no configurada;
tun0
- NIC virtual para VM, cuya función es la puerta de enlace para otras VMs: configurada automáticamente ( dhcp
), tiene acceso a Internet, recibe ip desde el enrutador ( 192.168.1.1/24
);
tun1
- NIC virtual, la puerta de enlace para otras máquinas virtuales :: 10.0.2.1/24
, dhcpd
, iptables con NAT
enmascarado 10.0.2.0/24 a través de tun0 (que es eth0
en la VM invitada)
bridge0
- puente que incluye eth0
y tun0
:: no configurado
bridge1
- puente que incluye todas las NIC virtuales de VM (tun {1 ...}) :: auto configurado, recibe ip desde el dhcpd de VM del gateway ( 10.0.2.1
), pero se elimina la ruta predeterminada a través de 10.0.2.1
.
Quiero aislar completamente mi máquina host de la red externa (Internet en mi caso). Y necesito acceder a la red de máquinas virtuales 10.0.2.0/24
. Así que la tabla de rutas en la máquina host se ve así:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
Pero hay una máquina virtual que es la puerta de acceso a Internet para otras máquinas virtuales, pero no para el host (que forma parte de la red 10.0.2.0/24). Me interesa si eliminar el gw predeterminado es suficiente o si algún software inteligente que se ejecuta en el espacio de usuario puede detectar que 10.0.2.1
es la puerta de entrada a Internet y el kernel de Linux permite enrutar a hosts desconocidos a través de eso.