Eu consideraria a execução do DHCP em uma VM sob KVM, apenas para diminuir o vetor de ataque da Internet para o host KVM. É muito mais fácil configurar o firewall se ele não fornecer nenhum outro serviço além do KVM. Você precisa de dois NICs no host, é claro. Você não diz por que precisa expor o host KVM à Internet usando o 203.0.113.1, mas eu me certificaria de que o iptables / firewalld está configurado para descartar qualquer coisa nesse IP. Os outros servidores com IP público também terão que usar seu próprio daemon de firewall.