A configuração da minha caixa é a seguinte:
Estou usando o Xen em bare metal, com Domain-0 (Debian Bullseye) servindo como terminal X. Aqui eu criei um monte de VMs (incluindo aquela que está se conectando ao terminal X no Domínio-0) que estão conectadas a uma ponte. Qualquer tráfego vinculado à rede upstream é roteado para a interface conectada ao roteador upstream (ou seja, não é uma porta da referida ponte).
Agora, na VM em que estou trabalhando (Debian Bullseye), estou tentando configurar a virtualização aninhada com KVM (VM é Debian Bullseye) para fins de teste (a passagem VMX está habilitada para esta VM) e configurei outra ponte nesta VM "mestre" e anexou sua interface de saída a ela. A VM aninhada que criei também tem sua interface de back-end vinculada a essa ponte "interna".
Agora, quando estou tentando acessar uma rede da VM aninhada, posso acessar a VM que hospeda a VM aninhada sem problemas, no entanto, quando tento pingar o Domínio-0 ou qualquer host na Internet, que é filtrado. Além disso, normalmente posso alcançar o Domínio-0 e a Internet a partir da referida VM "mestre", que por sua vez me informa que a ponte no Domínio-0 está filtrando todo o tráfego da VM aninhada.
Existe uma maneira de configurar a ponte que reside no Domínio-0 para permitir que o tráfego da VM aninhada passe? Não pretendo usar o roteamento na VM "mestre" (embora isso resolva o problema com certeza, essa não é minha intenção).
Infelizmente, essa questão acabou sendo inconclusiva, pois seu autor está tentando resolver o problema de dentro da VM "mestre", enquanto estou tentando resolvê-lo de fora, ou seja, dentro do Domínio-0.
Investigações posteriores revelaram que esse problema era um problema de firewall. Ao colocar as regras de registro na cadeia PREROUTING do ebtables no Domínio-0, bem como nas cadeias PREROUTING e POSTROUTING no DomU que hospeda a VM aninhada, notei que o Domínio-0 não estava recebendo nenhum pacote e verificando o DomU de hospedagem revelou que os pacotes ICMP estavam chegando na interface de back-end criada pela VM aninhada, mas não foram encaminhados para a interface de front-end PV de saída.
Ao adicionar regras de iptables que isentam o tráfego de ponte de ser processado (um simples
iptables -A FORWARD -m physdev --physdev-is-bridged -j ACCEPTno DomU de hospedagem fez o truque aqui), finalmente consegui alcançar servidores upstream (Domínio-0, outros DomUs rodando sob Xen e, por último, mas não menos importante, máquinas no 'Internet).Antes disso, eu já havia reativado o STP em todas as pontes no Domínio-0 e a ponte no DomU de hospedagem e também defini vários parâmetros relacionados a isso para valores razoáveis.