A configuração da minha caixa é a seguinte:
Estou usando o Xen em bare metal, com Domain-0 (Debian Bullseye) servindo como terminal X. Aqui eu criei um monte de VMs (incluindo aquela que está se conectando ao terminal X no Domínio-0) que estão conectadas a uma ponte. Qualquer tráfego vinculado à rede upstream é roteado para a interface conectada ao roteador upstream (ou seja, não é uma porta da referida ponte).
Agora, na VM em que estou trabalhando (Debian Bullseye), estou tentando configurar a virtualização aninhada com KVM (VM é Debian Bullseye) para fins de teste (a passagem VMX está habilitada para esta VM) e configurei outra ponte nesta VM "mestre" e anexou sua interface de saída a ela. A VM aninhada que criei também tem sua interface de back-end vinculada a essa ponte "interna".
Agora, quando estou tentando acessar uma rede da VM aninhada, posso acessar a VM que hospeda a VM aninhada sem problemas, no entanto, quando tento pingar o Domínio-0 ou qualquer host na Internet, que é filtrado. Além disso, normalmente posso alcançar o Domínio-0 e a Internet a partir da referida VM "mestre", que por sua vez me informa que a ponte no Domínio-0 está filtrando todo o tráfego da VM aninhada.
Existe uma maneira de configurar a ponte que reside no Domínio-0 para permitir que o tráfego da VM aninhada passe? Não pretendo usar o roteamento na VM "mestre" (embora isso resolva o problema com certeza, essa não é minha intenção).
Infelizmente, essa questão acabou sendo inconclusiva, pois seu autor está tentando resolver o problema de dentro da VM "mestre", enquanto estou tentando resolvê-lo de fora, ou seja, dentro do Domínio-0.