Como colocar uma máquina virtual na DMZ?

Eu tenho um servidor Ubuntu 12.04 rodando poucas máquinas virtuais com o KVM.

Eu gostaria de expor algumas dessas máquinas virtuais na internet, para possibilitar que os clientes testem os produtos que estamos desenvolvendo e disponibilizem outros produtos para fins de demonstração.

Uma das NICs do servidor é configurada com um IP público. No entanto, antes de expor algo na Web, gostaria de ter certeza de que, se uma das máquinas virtuais for comprometida, o invasor não alcançará o restante dos hosts.

O que eu gostaria de fazer é colocar essas máquinas virtuais em uma DMZ .

Estas são as etapas que planejo fazer:

1. Crie uma interface toque no host de virtualização (digamos tap1 )
2. Crie uma ponte usando tap1 e forneça um IP em uma sub-rede separada dos outros hosts. Digamos que 10.0.0.1
3. Anexar as máquinas virtuais DMZ à ponte e configurar seu IP estaticamente (10.0.0.2, 10.0.0.3, etc ...)
4. Usando o UFW, proíbe o tráfego de 10.0.0.0/24 para qualquer um dos hosts internos, permite o tráfego dos hosts internos em direção a 10.0.0.0/24 e expor as máquinas virtuais na Web usando o encaminhamento de portas .

Você acha que essa configuração é segura? Você pode sugerir alguma melhoria ou uma abordagem melhor / mais segura?