A máquina hypervizor está apenas ouvindo as conexões SSH na rede virtual interna. Isso pode ser feito usando a vinculação de interface iptables ou sshd .
A máquina de firewall só pode ser acessada pela rede, o que pode ser feito de várias maneiras. Se você usar o vswitch aberto, poderá criar uma rede interna diferente que pode ser acessada pela rede externa. Se você der à máquina de firewall duas interfaces (apenas rede de hypervizor e rede externa), você pode fazer isso funcionar.