Есть физическая машина с тремя сетевыми картами. Каждой карте настроил соответствующий мост, чтобы можно было подключать к ней виртуалки произвольным образом.

Запустил две виртуальных машины, каждую бриждем связал со своей сетевой картой (одна сетевая карта осталась свободной). Работает, каждая виртуалка имеет доступ в свой интернет.

Добавил вторые интерфейсы в виртульные машины и tap-интерфейс на физическую и сделал вторую, внутреннюю виртуальную сеть. Работает, все друг друга видят по внутренним адресам.

Затем подключаю к третьему физическому интерфейсу внешнее устройство. Работает - устройство пингует физическую машину и наоборот.

раутинг по-умолчанию на физической машине настроен в одну из виртуалок

Хочу настроить, чтобы пакеты с устройства попадали на ту виртуальную машин у, к которой написан дефалтовый путь (т.е. чтобы устройство получило выход в интернет). Не работет! Добавлять еще один виртуальный сетевой интерфейс от виртуалки до бриджа к устройству пока не хочу.

Прокидывание пакетов включено:
# cat /proc/sys/net/ipv4/ip_forward
1

iptables запущена:
# /etc/init.d/iptables status
* status: started

Правила все разрешают:
# iptables -L -v
Chain INPUT (policy ACCEPT 22881 packets, 12M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 32166 packets, 13M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 15137 packets, 1616K bytes)
pkts bytes target prot opt in out source destination