Sim, na verdade, faço isso para o meu ambiente de teste pessoal (tenho um site público que acessa uma VM QEMU-KVM no meu PC doméstico).
Basicamente, se a VM tiver acesso à rede, você estará lidando apenas com um problema de roteamento.
Tenho vários "departamentos" de empresa falsos configurados em minha VM para testar diferentes tipos de configurações, cada ambiente recebe sua própria sub-rede de um dispositivo virbr * em particular (o virbr1 é a interface virtual da VM do site, mas você A numeração da interface obviamente será diferente.
Nesse ponto, você pode tratá-lo da mesma maneira que faria se fosse fazer um NAT em alguma máquina física à qual apenas o hipervisor tinha acesso de rede e poderia acessar por endereço IP.
Eu tenho meu roteador de internet encaminhando a porta 80 para o hipervisor e o hypervisor apenas para a porta 80 do NAT para o IP privado associado ao KVM:
-A PREROUTING -d 192.168.1.9/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.1.9:80
192.168.1.9 é o endereço IP do meu hipervisor, 10.0.1.9 é o endereço IP da VM em que estou executando o apache.