История изменений

1. Если у вас виртуалок вида 192.168.1.2 не много, то достаточно прописать в host и никакие правила iptables не нужны. Если много можно на dns создать view что бы для запроса от них отдавал 192.168.2.2
2. При вашей схеме вот это правило «iptables -t nat -I POSTROUTING -p tcp -d 192.168.2.2 --dport 80 -j SNAT --to-source 192.168.2.1» вообще не уперлось все же роутится через один сервер.
3.

Но моя проблема в том что: я не могу понять как мне написать разрешающие правила -t filter FORWARD, при политике iptables DROP. Т.к. я не понимаю как проходит пакет по цепочкам iptables.

Есть iptables tutorial (в том числе и на русском) там хорошая картинка с описанием прохождения правил

1. Если у вас виртуалок вида 192.168.1.2 не много, то достаточно прописать в host и никакие правила iptables не нужны. Если много можно на dns создать view что бы для запроса от них отдавал 192.168.2.2
2. При вашей схеме вот это правило «iptables -t nat -I POSTROUTING -p tcp -d 192.168.2.2 --dport 80 -j SNAT --to-source 192.168.2.1» вообще не уперлось все же роутится через один сервер.
3.

Но моя проблема в том что: я не могу понять как мне написать разрешающие правила -t filter FORWARD, при политике iptables DROP. Т.к. я не понимаю как проходит пакет по цепочкам iptables.

Есть iptables tutorial там хорошая картинка с описанием прохождения правил

1. Если у вас виртуалок вида 192.168.1.2 не много, то достаточно прописать в host и никакие правила iptables не нужны. Если много можно на dns создать view что бы для запроса от них отдавал 192.168.2.2
2. При вашей схеме вот это правило «iptables -t nat -I POSTROUTING -p tcp -d 192.168.2.2 --dport 80 -j SNAT --to-source 192.168.2.1» вообще не уперлось все же роутится через один сервер.
3.

Но моя проблема в том что: я не могу понять как мне написать разрешающие правила -t filter FORWARD, при политике iptables DROP. Т.к. я не понимаю как проходит пакет по цепочкам iptables.

Есть iptables tutorial там хорошая картинка с описание прохождения правил