Encontré la diferencia entre mis reglas antiguas y las nuevas y he encontrado el problema de raiz que me impidia conectar desde el exterior a demás de selinux:
hain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2 152 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.2 ctstate RELATED,ESTABLISHED
Eso era lo que tenía antes y está claro, jamás le dije que podía aceptar conexiones nuevas por lo cual no podía aceptar conexiones nuevas del puerto abierto xD pero ahora le he agregado el estado NEW y ahora conecta de lujo:
hain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2 152 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.2 ctstate NEW,RELATED,ESTABLISHED
El comando fue este:
-A FORWARD -d 192.168.122.2 -o virbr0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT