iptables podem ser configurados para verificar o tráfego da ponte. Eu costumo desabilitá-lo para melhorar o desempenho, mas você pode fazer o oposto: /etc/sysctl.conf:
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
Se você definir um desses para 1 em vez de 0, o host iptables filtrará o tráfego da ponte.
Outra solução seria parar de usar a bridge e usar a implementação NAT do libvirts, que também usa o iptables
EDIT: como os dois modos são um IMO defeituoso, eu executaria os firewalls nos próprios convidados, deixando-os em uma rede com ponte normal. ou, o que seria ainda mais apropriado, execute um dispositivo de firewall separado na frente da infraestrutura virtual