QEMU Debianホストのゲスト仮想マシンに制限されたインターネットアクセスを付与する方法は?

QEMU Debianホストのゲスト仮想マシンに制限されたインターネットアクセスを付与する方法は?

Debian 10ホストにQEMU 3.1.0で仮想化されたWindows 10ゲストがあります。この仮想マシンは、特定のサーバーへの接続を除いてインターネットにアクセスすることを許可しないでくださいgit.example.com:22。そのようなネットワークを構成する最良の方法は何ですか?

仮想マシンにアクセスするユーザーはゲスト内でrootアクセス権を持ち、内部のすべてのエントリ(ゲストファイアウォールを含む)を変更できます。そのため、不正なインターネットアクセスを防ぐためのホスト側ソリューションが必要です。最善の解決策は、仮想マシンがインターネットに完全にアクセスできるように、サーバーへのフルアクセス権を持つことです。

私が試したのは、制限されたユーザーネットワーク構成でqemuを起動し、ゲストTCP接続を渡すことでした。

$ qemu-system-x86_64 -m 8192 -hda VM.vmdk \
-device rtl8139,netdev=inet0,mac=AA:BB:CC:DD:EE:FF \
-netdev user,id=inet0,net=192.168.0.0/24,restrict=yes,guestfwd=tcp:git.example.com:22-tcp:git.example.com:22

次のエラーメッセージが表示されます。

qemu-system-x86_64: Invalid guest forwarding rule 'tcp:git.example.com:22-tcp:git.example.com:22'

そしてIPアドレスも機能しません。

$ qemu-system-x86_64 -m 8192 -hda VM.vmdk \
-device rtl8139,netdev=inet0,mac=AA:BB:CC:DD:EE:FF \
-netdev user,id=inet0,net=192.168.0.0/24,restrict=yes,guestfwd=tcp:1.2.3.4:22-tcp:1.2.3.4:22

次のエラーメッセージが表示されます。

qemu-system-x86_64: Conflicting/invalid host:port in guest forwarding rule 'tcp:1.2.3.4:22-tcp:1.2.3.4:22'

私がここで何を間違っているのか? qemuがこの問題をすぐに解決できない場合は、ホストのファイアウォールを介してソリューションを実装できますか?

お手伝いいただきありがとうございます。

関連情報