Cómo evitar que una máquina host envíe o reciba paquetes con la siguiente configuración de red:
eth0 - NIC física :: no configurada;
tun0 - NIC virtual para VM, cuya función es la puerta de enlace para otras VMs: configurada automáticamente ( dhcp ), tiene acceso a Internet, recibe ip desde el enrutador ( 192.168.1.1/24 );
tun1 - NIC virtual, la puerta de enlace para otras máquinas virtuales :: 10.0.2.1/24 , dhcpd , iptables con NAT enmascarado 10.0.2.0/24 a través de tun0 (que es eth0 en la VM invitada)
bridge0 - puente que incluye eth0 y tun0 :: no configurado
bridge1 - puente que incluye todas las NIC virtuales de VM (tun {1 ...}) :: auto configurado, recibe ip desde el dhcpd de VM del gateway ( 10.0.2.1 ), pero se elimina la ruta predeterminada a través de 10.0.2.1 .
Quiero aislar completamente mi máquina host de la red externa (Internet en mi caso). Y necesito acceder a la red de máquinas virtuales 10.0.2.0/24 . Así que la tabla de rutas en la máquina host se ve así:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
Pero hay una máquina virtual que es la puerta de acceso a Internet para otras máquinas virtuales, pero no para el host (que forma parte de la red 10.0.2.0/24). Me interesa si eliminar el gw predeterminado es suficiente o si algún software inteligente que se ejecuta en el espacio de usuario puede detectar que 10.0.2.1 es la puerta de entrada a Internet y el kernel de Linux permite enrutar a hosts desconocidos a través de eso.