KVM em ponte com hosts VDE - LAN não podem se comunicar [fechado]

Eu tenho servidor de base de ArchLinux de 64 bits (kernel 3.3.8). Ele reproduz servidor backend / file / VoIP mythtv. É também meu gw / firewall para internet (2 nic, iptables fw). fw está configurado no estilo "negar tudo" ( -P INPUT DROP , -P FORWARD DROP )

Eu também configuro o kvm nesta máquina. A rede KVM é via vde com o tap0 da vde em ponte para a eth0 (minha interface voltada para a rede local).

A sub-rede é 192.168.1.0

kvm(.190)<-->vde(tap0)<->bridge(name=lan0; ip=.254)<->nic0(phy dev)

kvm funciona, posso me comunicar bidirecionalmente entre o kvm guest (.190) e o host (.254) - mas não com os hosts da LAN! O problema parece estar relacionado à regra -P FORWARD DROP no meu firewall, pois a não execução dessa regra permite trabalhar toda a rede OK. Eu tenho problema para entender porque -P FORWARD DROP causa problema. A partir da perspectiva L3, a interface de rede kvm está por trás da LAN nic (ela é conectada a LAN nic), então no nível L3 ela deve funcionar. Parece que -P FORWARD DROP está bloqueando o tráfego de outros hosts da LAN. Porque isso?

thx antecipadamente