Quando você configura suas VMs para o modo de ponte, pode restringir o tráfego de rede para que somente o tráfego entre o dispositivo de rede e a VM seja possível.
Mas o dispositivo de rede ainda é operado pelo host, de modo que o host ainda tem tráfego de rede, mas pode ser restrito para que o kernel não permita o tráfego do espaço do usuário do host para o dispositivo de rede.
Então, em princípio, é possível, mas a configuração com iptables não é trivial. Além disso, quaisquer bugs do kernel no host ainda podem estar lá e afetar seu host.