Есть ли решение, чтобы запретить пользователю виртуальной машины назначать / использовать IP-адреса, которые ему не принадлежат, но которые маршрутизируются через тот же мост, что и его собственные адреса? Текущая настройка с libvirt и KVM выглядит так:
|---VM1 (IP 1)
Host ---> br0 |---VM2 (IP 2)
|---VM2 (IP 3)
или единственное решение - использовать уникальный мост для каждой виртуальной машины?
Вы можете использовать для этого ebtables, если вы назначаете Mac каждой виртуальной машине на узле хоста.
http://ebtables.sourceforge.net/
Проще говоря, это блокирует его по MAC-адресу и позволяет виртуальным машинам использовать IP-адреса, специально назначенные им.