Вот что я имею в виду В этом рисунке BR0 — внешний (интернет) мост. Он связан с eth0 и подключен к вашей демаркации. BR1 представляет внутреннюю сеть и связан с eth1. Единственная машина (виртуальная), подключённая к BR0 — это устройство firewall/UTM (например, pfsense), у которого есть публичный IP-адрес. Фаервол также подключён к внутренней сети, чтобы пропускать проверенный трафик туда и обратно. Все обычные виртуальные машины подключаются только к BR1 и поэтому обязаны проходить через фаервол, чтобы выйти в интернет. Стоит отметить, что BR1 имеет внутренний IP-адрес, который даёт доступ к гипервизору. Если хочешь настроить DMZ-среду, я могу изменить рисунок и показать это. Надеюсь, это поможет — иногда я могу слишком запутанно объяснять.

Спасибо за всю информацию, ребята, рисунок просто отличный, НО: похоже, это будет работать только с 2 физическими сетевыми картами, а я хотел понять, как это сделать с одной физической сетевой картой на гипервизоре. Я что-то неправильно понимаю или это вообще невозможно? ###edit### Извиняюсь, если завёл обсуждение в неверное русло, думал, что одна физическая сетевая карта в моём первом рисунке была замечена

Словом не говорю, что мой интернет-демаркационный (оптоволоконный) кабель подключён к порту 2 на моём коммутаторе. Хосты Proxmox подключены к портам 1, 4, 5 и 7 на том же коммутаторе. Таким образом, соединение с интернетом идёт по VLAN 9. Внутренний трафик ходит по VLAN 1 и при этом не помечен тегами. Возможно, для домашней сети это и выглядит сложно, но на самом деле не так уж и запутано.

Привет, @Denny, спасибо большое за детали — они очень помогли. У меня был теоретический вопрос, потому что в компании, где я сейчас работаю, кто-то предложил перенести несколько Linux-серверов из нашей DMZ на облачный сервер. Я изучил наши потребности и понял, что нам нужен будет всего лишь небольшой или средний root-сервер и пара виртуальных машин, на которых нет никаких критически важных сервисов. Так как я предпочитаю ProxMox, я посмотрел, как это можно реализовать, хотя у нас все ещё есть свободная лицензия VMware, так что это тоже вариант. В общем, я думал разместить гипервизор в облаке с несколькими ВМ и хотел их защитить. Внутренняя сеть не нужна вообще. Я знаю, что в гипервизорах обычно есть встроенный файервол и защита, но решил использовать эту возможность, чтобы научиться чему-то новому, и мне интересно было посмотреть opnsense. Интересно узнать, что ты рассказал по этому поводу здесь:

@Denny: спасибо, всё выглядит довольно просто. Сначала протестирую это в лаборатории. Я рассматривал аренду базового сервера, который бы покрывал мои нужды примерно за 150$ в месяц (могу использовать ProxMox или VMware, у меня есть запасная лицензия). Не уверен, что можно получить за такие деньги в облачных сервисах. Можешь написать мне в личку, я посмотрел сайт Rackspace, но цен для моих задач там не нашёл. Там всё "свяжитесь с нами для получения цен", но, думаю, это будет значительно дороже, чем я рассчитываю.