I would like to be sure that if one of the virtual machines get compromised, the attacker doesn't reach the rest of the hosts.
Para isso, além do firewall adequado , você realmente precisa sVirt , que sai da caixa com um host KEL RHEL6 / CentOS 6. Está até habilitado e funcionando por padrão. Eu não tenho ideia se está disponível mesmo com uma configuração do Ubuntu.