Implémenté par chaînage : bridge général VM (vmbr0) ⇒ paire de veth ⇒ bridge de la VM avec la (les) tap
Au niveau iptables, une chaîne IN et une OUT par VM.
Pour avoir un firewall effectif il faut l'activer :
Lorsqu'on active le firewall globalement au cluster, par défaut, on est en DROP en entrée. Proxmox s'ajoute ses règles pour son fonctionnement (corosync, ssh depuis l'ipset “management” etc.).
Attention, à savoir : les règles qu'on configure ont toutes toujours de base un ACCEPT sur RELATED/ESTABLISHED.