Als erstes würde ich dir Libvirt als "wrapper" für alle KVM/Qemu-Tätigkeiten empfehlen. Dies Vorausgesetzt, gebe ich dann auch meine folgenden Vorschläge ab:
Ich habe ganz einfach eine Bridge erstellt, geht unter Linux / Ubuntu ja recht einfach. Da werden dann die KVM-Maschinen "angeschlossen". Somit habe ich alle VM's im selben Netzwerk in welchen sich auch der Host befindet, also im "echten" Subnet in der sich auch das Internetgateway befindet (falls das dein Ziel ist). Oder du erstellt ein "routed" Netwzerk. Dabei wird auch ein DHCP Dienst bereitgestellt mit frei wählbarem Subnet. Problem hierbei ist: Dieses Netzwerk muss deinem Router bekannt gemacht werde, was nicht bei jedem Model ganz einfach ist, vor allem diejenigen für den Privatnutzer. Die Frage wie du letztlich den Internetzugriff blockieren willst, lässt sich nicht so einfach klären. Das kannst du z.B. evtl. über deinen Router machen, auf dem Host via ebtables, wenn du die Bridge-Methode nutzen willst, routed-network -> iptables oder auch auf dem Client selbst (Windows-Firewall, Default-Route ins "nichts" etc..) . Ich persönlich würde die Regelung bzgl. der Zugriffe mit ebtables/iptables (je nach Methode) auf dem KVM Host bewerkstelligen. Syntax ist im Grunde nahezu die selbe wie bei iptables. Kurzum: Ich sehe die Methode über die Bridge als die einfachste und weniger Fehleranfällige an.
Nützliche Links :
->
https://wiki.archlinux.org/title/libvirt#Networks
->
https://jamielinux.com/docs/libvirt-...king-handbook/