Você pode usar ebtables para isso supondo que esteja atribuindo um mac a cada VM no nó do host.
Isso, em termos simples, bloqueia o endereço MAC e permite que as VMs usem IPs especificamente atribuídos a elas.
Existe uma solução para impedir que um usuário VM atribua / use endereços IP que ele não possui, mas que são roteados pela mesma ponte, como seus próprios endereços? A configuração atual é assim com o libvirt e o KVM:
|---VM1 (IP 1)
Host ---> br0 |---VM2 (IP 2)
|---VM2 (IP 3)
ou é a única solução para usar uma ponte exclusiva para cada VM?
Você pode usar ebtables para isso supondo que esteja atribuindo um mac a cada VM no nó do host.
Isso, em termos simples, bloqueia o endereço MAC e permite que as VMs usem IPs especificamente atribuídos a elas.