mureevms

В общем случае да. И дело не в другом интерфейсе, а во всем, что за ним, как правило это локальная сеть.
Но счет идет на доли секунд-несколько секунд - от момента загрузки ядра до срабатывания правила iptables -P FORWARD DROP, если оно есть. И может проявиться только при перезапуске скрипта фаервола или рестарте сервера. К тому же, если скрипт перезапускается, то форвард в ядре уже разрешен предыдущим запуском скрипта, поэтому, такой "финт" отрабатывает только один раз при загрузке системы.
Если же в дефолт полиси вместо DROP ACCEPT, то и нет особого смысла включать маршрутизацию в ядре после отработки правил фаера. Хотя, это зависит от количества правил и речь там идет о времени, которое необходимо на отработку самих этих правил.

Не работал с KVM, но логика подсказывает, что надо найти скрипты, которые перезатирают кастомные правила. Если найти не получается или сделать надо быстро, то надо написать свой скрипт, который будет пере-перезаписывать правила.
Осуществить можно написав скрипт, в котором сначала скидываются все правила и затем загружаются нужные. Вставить данный скрипт в автозагрузку после старта KVM.