

vboxnet) es visible con ip a.IP:puerto del host → IP:puerto de la VM.Cuando una máquina virtual en modo NAT quiere navegar, el hipervisor intercepta su paquete y actúa como un intermediario activo. El proceso del hipervisor abre un socket cliente en el propio sistema operativo del host, reservando un puerto efímero (por ejemplo, el puerto 55001). En ese instante, el hipervisor realiza la traducción: toma el paquete que venía de la IP_VM:80, le pone la IP_Host y el puerto 55001, y lo lanza a la red física. Para cualquier servidor externo, la petición proviene legítimamente del host, por lo que responde enviando los datos de vuelta a ese puerto específico que el hipervisor dejó "alquilado".
Al recibir la respuesta en el endpoint IP_Host:55001, el hipervisor consulta su tabla interna y reconoce que ese puerto está vinculado a la sesión de la VM. Gracias a que actúa internamente como un router y servidor DHCP, sabe exactamente a qué dirección privada de la red virtual debe redirigir el tráfico. Tras deshacer la traducción de la IP y el puerto, inyecta el paquete en la pila TCP/IP de la máquina virtual. Este mapeo es efímero: en cuanto la conexión se cierra, el puerto 55001 queda libre y la entrada en la tabla desaparece.
Por esta razón, la VM puede salir a Internet de forma transparente usando la identidad del host u otro dsipositivo, pero el host no puede entrar en la VM sin una regla fija, ya que estas puertas solo se abren temporalmente desde el interior.
La VM está detrás del NAT de VirtualBox. Cuando la VM hace una conexión a Internet, VirtualBox abre un socket en el host y traduce IP/puerto → host. Sin embargo, si deseas conectar desde el host a la VM, por defecto no puedes, porque la IP de la VM no existe en la pila del host.
Para establecer una conexión con el host, la única manera es asociar una dirección IP y un puerto del host con la dirección IP y el puerto de la máquina virtual (VM), es decir establecer un regla fija de PAT dentro del hypervisor ya quue las del NAT son efimeras. Dado que los puertos son compartidos, no hay conflicto. Se crea un túnel entre los dos puertos, Virtual box cunado reconoce un apquete de llegada en ese puerto, como esta instalado en el kernell lo redirige internamente a un puerto de la VM, de modo que todos los paquetes que lleguen a un puerto se redirigen al otro.
Generalmente, se utiliza la dirección IP de loopback del host para evitar que se pueda acceder desde el exterior. Si se configurara la dirección IP del host de conexión al exterior (eth0), se podrían enviar paquetes desde el exterior al host si abre un servidor SSH en ese puerto, y se redirigirian a la VM cosa que no es segura.