Minha implementação é através da implantação de um PV Guest dedicado a executar tarefas de firewall. Mas você ainda deve endurecer o dom0.
Estou procurando uma solução inteligente para um firewall XenServer há cerca de um mês. A documentação para o novo backend de rede padrão "openvswitch" não é tão detalhada e eu mal posso encontrar guias para filtrar pacotes com o OVS. A outra possibilidade seria ponte do Linux com o iptables (que eu vou avaliar nos próximos dias).
Como você está fazendo o firewall com você XenServers? Você usa o Dom0 para isso, você tem uma VM dedicada para isso ...?
Minha implementação é através da implantação de um PV Guest dedicado a executar tarefas de firewall. Mas você ainda deve endurecer o dom0.