Como você atribuiu um endereço IP a br0, ele é efetivamente a interface de rede "real" do seu servidor. Você pode criar regras de iptables em seu servidor que funcionam igualmente bem, independentemente de sua interface de rede ser chamada de br0 ou eth0. Isto é, apenas escreva as regras do iptables do firewall do seu servidor como se sua interface de rede fosse uma eth0 simples (exceto que ele é chamado br0).
Não se preocupe em ter que escrever suas regras iptables para permitir explicitamente o tráfego para as interfaces virtuais unidas para fazer a ponte br0, porque (e este é um ponto chave) as regras iptables não podem filtrar ou afetar o tráfego na bridge explicitamente . A razão é que as pontes operam na camada de enlace (L2), e o iptables opera (em sua maior parte) em pacotes em camadas de rede mais altas (tipicamente L3 e L4). Uma imagem mental que pode ser útil é a seguinte: uma ponte funciona quase exatamente como um hub de rede com todas as interfaces interligadas.
Se você quiser filtrar o tráfego que passa por uma ponte, consulte ebtables , mas é improvável que você precise . É muito mais natural e conveniente simplesmente tratar a ponte como parte da infraestrutura de rede (por exemplo, um hub ou um switch) e criar um script de firewall iptables para cada host (real ou VM) na rede.