Na máquina que serve de firewall para uma rede, instalei uma VM para fazer a ponte para uma VPN remota. Desde então, notei que nenhum dos dispositivos conectados à referida VPN tinha suas conexões filtradas pela cadeia que apliquei ao FORWARD, mas funcionava para dispositivos na LAN. Somente quando eu adicionei a regra para pular para a cadeia, se o dispositivo físico de entrada for virbr0 em OUTPUT, ele se aplicará à VM e aos dispositivos conectados por meio da VPN.
Por que o tráfego de VMs é classificado como tráfego de saída? Logicamente, o kernel não deve tratar o tráfego como originado de dispositivos estrangeiros?
Você criou uma ponte que consiste na interface do host e na interface da VM. Assim, o tráfego que sai da VM é essencialmente enviado da ponte sobre a interface do host e, portanto, é o tráfego de saída. Ele não está sendo recebido pelo host em nenhuma interface, apenas "aparece" na ponte.
Você pode querer investigar ebtables , que é como iptables , mas para uso em pontes.
Tags iptables