Как изолировать сеть из виртуальной машины?

Question

[hatemepleaseiloveit]

Задача звучит следующим образом
у меня есть QEMU и надо реализовать следующую конфигурацию.
1) изолировать виртуалку от сети интернет, хост машина соответсвнно смотрит в свет
2) хост машина подключена через впн к внутренней сети - это уже сделано
3) необходимо чтобы кему виртуалка имела доступ исключительно к определенной подсети
то есть когда я подключен к впну у меня ip route например такой
default via 192.168.0.1 dev enp4s0 proto dhcp metric 100
default via 192.168.0.1 dev wlp0s20f3 proto dhcp metric 600
***
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown
10.0.22.0/23
172.16.22.0/24
172.16.55.0/24
***

и мне надо чтобы виртуалка изнутри видела только 172.16.55.0/24 и больше ничего, даже интернет
как это можно реализовать?

Answer 1

[ky0]

Фаерволл, маршрутизация - все приседания с ограничением доступа и связностью делаются с помощью этих инструментов.

Answer 2

[Drno]

Обычно это делается на роутере. Внезапно с помощью меню/настройки - routes ))
Там разрешается/запрещается доступ до сегментов сети.

Ну или фаерволлом. Им же можно и в самой виртуалки, сделать правило на DROP всех пакетов, кроме нужной подсети/ip

Answer 3

[Максим Гришин]

На хостовой машине пишете правило forward, разрешающее подключения с 192.168.122.0/24 до 172.16.55.0/24 и 192.168.0.1, а остальное дропаете. Маршруты у вас все уже есть, как я понимаю, так как хост видит всё что надо. Если ВМ за локальным NAT'ом, проверьте, что правило для NAT на эту машину находится в ветке POSTROUTING, если это iptables, в противном случае вы так ещё и хосту интернет обрежете.