Como posso criar uma rede virtual onde o convidado não pode se comunicar diretamente com outros convidados?
Se você está se perguntando por quê: a rede virtual tem convidados que fornecem serviços para usuários de VPN. Diferentes funções de usuário têm diferentes regras de firewall que permitem o acesso a convidados específicos. Alguns convidados permitem ssh / rdp, para que as pessoas possam fazer conexões futuras do hóspede e obter acesso não autorizado a outros convidados.
Estou usando o KVM & libvirt no Ubuntu.
O Libvirt com KVM suporta um recurso chamado "nwfilter" que permite configurar regras de firewall bastante extensas para interfaces de rede de convidados individuais. Explicar isso está além do escopo desta resposta, então é melhor ler apenas os documentos on-line:
a maioria das coisas que você pode conseguir com o iptables / ebtables pode ser expressa usando as regras nwfilter do libvirt. Por isso, deve ser possível criar regras de filtro que isolem strongmente seus convidados uns dos outros.