Az ip önmagában nem elég infó. Ha kiindulunk egy /24-es netmaszkból akkor a vmbr0-1-2 setupja így nem feltétlen "a várt eredményhez vezet".
Amit most "áthidaló megoldást" csináltál azzal megkerülted a routeolást (natolást) és "kiraktad direktbe" az összes vm-et.
Ha az volt a cél hogy a vm-eket egyesével ne kelljen védeni "mert van előtte tűzfal" na az most nincs.