И что, это работает? Не верю.

Работает только нужно добавить правила в иптабл:
iptables -t nat -I PREROUTING -d 123.123.9.159 -p tcp -m tcp --dport 1:65535 -j DNAT --to-destination 192.168.200.11
iptables -t nat -I PREROUTING -d 123.123.9.159 -p udp -m udp --dport 1:65535 -j DNAT --to-destination 192.168.200.11
iptables -t nat -I POSTROUTING -o enp1s0f0 -s 192.168.200.11 -j SNAT --to-source 123.123.9.159
Как я понял. прероутинг переадресует ип а построутинг раздаёт инет. Походу я в первом варианте всё правильно делал но не добавил правила. Хотя мне и непонтятно зачем столько бриджей, если как вы говорите это некий свитч. Почему не сделать всё на одном мосте + внешний интерфейс.
Под кажду виртуалку конечно муторно так раздавать всё. Схема очень мутная ) Сижу пока додумываю что и как.

auto vmbr1 192.168.200.1 выходит в качестве узла как я понимаю. Который связывает все виртуалки 192.168.200.10 и т.д.
Получается на старом интерфейсе этого сделать было нельзя? Почему? ))

То есть, работает оно на одной виртуалке с адресом 192.168.200.11 и доступной из мира по адресу 123.123.9.159? Ничего не скажешь, "изящное решение".

То есть, работает оно на одной виртуалке с адресом 192.168.200.11 и доступной из мира по адресу 123.123.9.159? Ничего не скажешь, "изящное решение". »
Мне нужно было что бы пару виртуалок были доступны напрямую по адерсу. Сайты и некоторые сервисы работают.

Кто нибудь объясните мне. Почему он сделал 192.168.200.1 в качестве шлюза. Когда был интерфейс с 192.168.100.2 правда на нём весел проксмакс.
Почему не сделать vmbr1:
iface vmbr1 inet static
address 192.168.100.1
netmask 24
bridge-ports none
bridge-stp off
bridge-fd 0
на 192.168.100.2 проксмокс остальные виртуалки.