Moin zusammen,
das macht alles der virt.
Sobald Du Deinen virtuellen Kisten ein Netzwerk gibst und in der Regel die Netzwerk Settings des unterliegenden Systems benutzt um rauszukommen (bridging), werden die entsprechend durch firewall Regeln geschützt (die unterliegenden Netze).
Wenn man die iptables aufruft, kann man für die Bridge entsprechende Einträge sehen.
Schau mal hier ist das ganz gut beschrieben.
Du kannst auch eigene Regeln dann dazupacken wie Du sie brauchst.