• La VM est bien connectée au réseau par défaut (via le pont virbr0) et a pu récupérer sa configuration via DHCP ;
• La passerelle est bien accessible au ping ;
• Les adresses IP des interfaces de l’hôte sont accessibles au ping ;
• La résolution DNS basée sur dnsmasq fournit par l’hôte est fonctionnelle ;
• L'hôte a bien accès à Internet.

Malgré cela la VM n'a pas accès à Internet, les connexions échouent systématiquement.

Cela peut se produire lorsque des modifications sont apportées au pare-feu de l’hôte. Par défaut, la relecture du fichier de configuration /etc/nftables.conf par le service nftables.service entraine la suppression de l'ensemble des règles préexistantes (flush du ruleset).

Or le service libvirtd.service, lors de son démarrage, crée des tables dédiées au transfert du trafic pour les VMs.

Une solution simple consiste à redémarrer le service libvirtd.service ce qui à pour conséquence de recréer les tables nécessaires :

systemctl restart libvirtd.service

• Comment KVM introduit ses propres règles netfilter (stackexchange.com)