Macvtap и iptables. Фильтрация входящего трафика

[EENNOOTT]

Добрый день. Имеется хост машина и виртуальные машины KVM (LibVirt), подключенные к сети через macvtap.

Возникла необходимость блокировать входящий трафик гостевой машины средствами хост-машины.. Но как я понял, macvtap минует стек хост машины, и так просто фильтровать трафик на хост машине не получится, либо я чего-то не понимаю.
Как фильтровать входящий трафик macvtap с хост машины?

[AnrDaemon]

Вы сами ответили на свой вопрос. Никак.
Подключайте через бридж, либо маршрутизируйте трафик.

[zakdvl]

ebtables может

[AnrDaemon]

ebtables может

Для этого надо знать MAC каждой машины. А в виртуальных сетях он может быть рандомным от случая к случаю.
И вообще, хотелось бы почётче озвученной задачи, чем "фильтровать трафик".
Какого рода трафик, на какой предмет фильтровать?