Supponendo di avere una VM guest non affidabile (ad esempio, sto utilizzando un data center cloud). Se imposto la connessione di rete fino a utilizzare NAT, l'ospite può comunque accedere a Internet. Ma cosa impedisce loro di accedere anche alla LAN ospite? In che modo la gestione NAT nell'host di macchine virtuali riesce a distinguere tra say www.google.com (su Internet) e my.local.domainserver (sulla LAN host) e impedire l'accesso a quest'ultimo?