Добрый день! Есть kvm-хост на котором настроена виртуалка-роутер, используется как нат и фаерволл в интернет. На хост машине 2 сетевых карты: одна в инет, вторая в локалку, настроены 2 бриджа. в виртуалку добавлены 2 адаптера, на один приходит инет от провайдера, второй смотрит в локальную сеть. Хост машина при этом не получает ip адресов и не имеет выхода в сеть. Мне нужно: что бы эта виртуалка работала как роутер-нат-фаерволл для всех виртуальных машин, которые будут сделаны на данном хосте, что бы я с одной из виртуальных машин смог попасть по ssh на хост.

Подскажите как это сделать? Смотрел в сторону tun|tap интерфейсов, но не до конца понимаю как это работает. Так же прошу подсказать насколько безопасно данное решение? можно ли получив доступ на роутер и использую уязвимость гипервизора получить доступ к хост машине?