Resumen rápido de la configuración:
- Ubuntu Server 20.04 con 4 puertos de red
- Enrutador OPNsense ejecutándose en libvirt KVM
- Un puerto es WAN, tres puertos son LAN (en puente)
- El enrutador funciona muy bien
- El servidor (el mismo que ejecuta OPNsense) obtiene acceso a LAN e Internet mediante VETH a través del puente LAN
- Los servicios se ejecutan en varios puertos del servidor y las máquinas externas pueden acceder a ellos.
- PROBLEMA: Si se ejecuta un servicio en Docker, el servidor puede ver los puertos del servicio, pero no desde otras máquinas en la LAN (nmap los muestra como "filtrados")
- Esto se resuelve configurando el contenedor acoplable para que se ejecute en modo "host", lo cual obviamente no es óptimo ya que la asignación de puertos ya no es posible.
¿Por qué las máquinas externas no pueden ver los puertos expuestos por la ventana acoplable en esta configuración? Entiendo que es una configuración de red complicada y que probablemente falte alguna ruta entre las VLAN acoplables y el puente VETH, pero todo lo que he comprobado parece estar bien. El demonio Docker parece estar configurado para escuchar en todas las interfaces. Estoy perdido.