@Nigg: Beim NAT benutzt die VM die gleiche IP wie ihre Host-Maschine. (Zumindest nach Aussen hin). Baut die VM eine Verbindung auf, ist dass kein Problem, da die rückkehrenden Pakete eine Session-ID haben. Deshalb ist klar ob die Pakete zum Host, oder zur VM gehören. Baust du von Aussen aber eine Session zur VM auf (welches Protokoll auch immer...) dann sprichst du mit dieser IP den Host an. Der weiß ohne Forwarding aber nicht, dass diese Anfrage an die VM soll.
Gruß
Tim