Eu tenho o nó KVM regido pelo ProxmoxVE2.1 no Debian e o monte de máquinas dos convidados da VM. É assim que minha rede se parece:
# network interface settings
auto lo
iface lo inet loopback
# device: eth0
auto eth0
iface eth0 inet static
address 175.219.59.209
gateway 175.219.59.193
netmask 255.255.255.224
post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
E eu tenho duas soluções de sub-rede de trabalho
auto vmbr0
iface vmbr0 inet static
address 10.10.0.1
netmask 255.255.0.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up ip route add 10.10.0.1/24 dev vmbr0
Dessa forma, posso acessar a Internet, resolver hosts externos, atualizar e fazer o download de tudo que preciso, mas não consigo acessar uma VM guest de nenhuma outra VM dentro da minha rede.
A segunda solução permite que eu me comunique entre as VMs:
auto vmbr1
iface vmbr1 inet static
address 10.10.0.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.10.0.0/24' -o vmbr1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.0.0/24' -o vmbr1 -j MASQUERADE
Eu posso até endereços internos NAT:
-t nat -I PREROUTING -p tcp --dport 789 -j DNAT --to-destination 10.10.0.220:345
Minha mente inexperiente está pronta para dobrar os adaptadores de rede da VM: um para a primeira solução e outro - para segundo (com endereços ligeiramente diferentes), mas tenho certeza que é uma maneira estúpida de resolver o problema e tudo pode ser resolvido via iptables / ip route rules que não posso criar.
ATUALIZAÇÃO:
Confira minha configuração na minha pergunta aqui;
Debian: Devo adicionar interface vlan à bridge para o KVM?
Acabei usando interfaces de ponte que são preenchidas com os convidados. Meu nó pode alcançar a Internet e seus convidados, e os convidados podem chegar uns aos outros e à Internet, conectividade total. O fogo-walling é feito em cada convidado eles.