Sua última regra de iptables,
-A POSTROUTING -j MASQUERADE
está mascarando todos os pacotes que saem do host, incluindo aqueles para a VM: essa é a razão pela qual você vê, no guest, todos os pacotes como provenientes do host. Você deve limitar o mascaramento de pacotes deixando o host para a internet, algo como
-A POSTROUTING -o eth0 -j MASQUERADE
se você chamar eth0 a interface conectada à Internet.
Editar:
Se a pergunta for o que mais eu preciso para fazer o encaminhamento de IP funcionar, então uma resposta suficiente é:
sudo iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.2.22:22