Dělám v tom asi chaos, tu síť pro hosty jsem pochopitelně myslel jako WLAN (wireless). Ale to teď nechci řešit, aby mě zas nebolela hlava Stejně tu žádné wifi zařízené teď nemám, na čem bych zkoušel účinky.

To pravidlo na zákaz přístupu (wifi) hostů do (metalické) LAN jsem vyčetl v JaFiho článku, snad jsem to neopsal blbě..

Blokovat DNS je na těch virtuálech asi zbytečnost, ne?

A pro jistotu, pořád mi leží v hlavě ten můj bod 3. Je pěkné, že si zakážu odchozí spojení, ale nemůže se mi i tak něco dovnitř na ty virtuální stroje dostat zvenčí? To nemusím nějakým samostatným pravidlem řešit? Nebo to řeší obecná pravidla, jak jsem uvedl v prvním postu, tedy:
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno