Hát ha így virtualizálsz, akkor eleve két fizikai interfésszel nyiss és a fizikai géphez ne legyen távoli elérés (vagy baromira korlátozott, IP-re, port változtatva és csak pubkey auth-os SSH). Vinyóügyben barátkozz meg a RAID1-el szerintem. A teljesítménye is jobb lesz az atomon, mert azért a R5-höz kell majd kraft ha használod is a diszket.
A hálózat meg egy vagy két bridge lesz és azokon, illetve az interfészeken tudsz szűrni.