Запретить как роутинг через host и guest машины под управлением proxmox ve?

Question

[torr2009]

Как запретить роутинг через host и guest машины под управлением proxmox ve?

В ходе осмотра локальной сети выяснилось, что гипервизор proxmox по default`у пересылает пакеты во внешнюю сеть то есть работает шлюзом в локальной (через свой gateway).
Так же роутерами являются все виртуальные машины под линукс (как KVM, так и OpenVZ).
Как это корректно запретить? При том, что гипервизор Proxmox, должен иметь доступ к интернет и виртуальные машины должны иметь доступ к Интернет и к друг другу?
Такой же особенностью обладают, как выяснилось и VoIP-телефоны Dlink DPH-150S и без того известные своей "безопасностью".

Ниже приведены используемые настройки:

route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.9     *               255.255.255.255 UH    0      0        0 venet0
192.168.1.0     *               255.255.255.0   U     0      0        0 vmbr0
default         192.168.1.57    0.0.0.0         UG    0      0        0 vmbr0

cat /etc/network/interfaces

auto lo
iface lo inet loopback
auto vmbr0
iface vmbr0 inet static
        address 192.168.1.5
        netmask 255.255.255.0
        gateway 192.168.1.57
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
#       pre-up ifconfig eth0 mtu 9000

pveversion -v

proxmox-ve-2.6.32: 3.3-139 (running kernel: 2.6.32-34-pve)
pve-manager: 3.3-5 (running version: 3.3-5/bfebec03)
pve-kernel-2.6.32-20-pve: 2.6.32-100
pve-kernel-2.6.32-32-pve: 2.6.32-136
pve-kernel-2.6.32-19-pve: 2.6.32-96
pve-kernel-2.6.32-33-pve: 2.6.32-138
pve-kernel-2.6.32-22-pve: 2.6.32-107
pve-kernel-2.6.32-17-pve: 2.6.32-83
pve-kernel-2.6.32-34-pve: 2.6.32-139
pve-kernel-2.6.32-26-pve: 2.6.32-114
pve-kernel-2.6.32-11-pve: 2.6.32-66
pve-kernel-2.6.32-18-pve: 2.6.32-88
pve-kernel-2.6.32-23-pve: 2.6.32-109
lvm2: 2.02.98-pve4
clvm: 2.02.98-pve4
corosync-pve: 1.4.7-1
openais-pve: 1.1.4-3
libqb0: 0.11.1-2
redhat-cluster-pve: 3.2.0-2
resource-agents-pve: 3.9.2-4
fence-agents-pve: 4.0.10-1
pve-cluster: 3.0-15
qemu-server: 3.3-3
pve-firmware: 1.1-3
libpve-common-perl: 3.0-19
libpve-access-control: 3.0-15
libpve-storage-perl: 3.0-25
pve-libspice-server1: 0.12.4-3
vncterm: 1.1-8
vzctl: 4.0-1pve6
vzprocps: 2.0.11-2
vzquota: 3.1-2
pve-qemu-kvm: 2.1-10
ksm-control-daemon: 1.1-1
glusterfs-client: 3.5.2-1

Answer 1

[Армянское Радио]

На виртуальных машинах нужно отключить ip-forwarding.

/etc/sysctl.conf:
net.ipv4.ip_forward = 0

Доступ к интернету организовать не маршрутизацией, а через прокси с фильтрацией и аутентификацией.

Answer 2

[Сергей Петриков]

sysctl -w net.ipv4.ip_forward=0
sysctl -w net.ipv6.conf.all.forwarding=0
echo "net.ipv4.ip_forward=0" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=0" >> /etc/sysctl.conf