既然虚拟机能ping通网关，说明内网连通性没问题，问题大概率出在宿主机的NAT转发配置或者iptables的其他链规则限制上，咱们一步步排查：

1. 先确认宿主机是否开启了IP转发 #

这是虚拟机通过宿主机访问外网的核心前提，执行以下命令检查状态：

sysctl net.ipv4.ip_forward

如果输出是net.ipv4.ip_forward = 0，说明IP转发未开启，临时生效可以用：

sysctl -w net.ipv4.ip_forward=1

要让配置永久生效，编辑/etc/sysctl.conf，将net.ipv4.ip_forward的值改为1，再执行sysctl -p加载新配置。

2. 检查宿主机nat表的POSTROUTING链规则 #

虚拟机访问外网需要宿主机做地址转换（SNAT/MASQUERADE），执行命令查看nat表规则：

iptables -t nat -L POSTROUTING -n -v

如果看不到针对虚拟机子网的MASQUERADE或SNAT规则，需要添加一条（假设你的虚拟机子网是192.168.122.0/24，宿主机外网网卡是eth0，请根据实际情况替换参数）：

iptables -t nat -A POSTROUTING -s 192.168.122.0/24 -o eth0 -j MASQUERADE

3. 检查宿主机FORWARD链的完整规则 #

你提到删除了拒绝ICMP的规则，但还要确保FORWARD链允许虚拟机的出站流量和回程流量：
执行命令查看FORWARD链详情：

iptables -L FORWARD -n -v

如果没有相关允许规则，添加以下两条：

# 允许虚拟机子网的出站流量
iptables -A FORWARD -s 你的虚拟机子网段 -d 0.0.0.0/0 -j ACCEPT
# 允许外网到虚拟机的相关回程流量
iptables -A FORWARD -d 你的虚拟机子网段 -s 0.0.0.0/0 -m state --state RELATED,ESTABLISHED -j ACCEPT

4. 检查虚拟机本地的OUTPUT链规则 #

你只处理了INPUT和FORWARD链的拒绝ICMP规则，别忘了虚拟机自身的OUTPUT链是否限制了ICMP请求：
执行命令查看OUTPUT链：

iptables -L OUTPUT -n -v

如果存在DROP ICMP的规则，直接删除它，或者手动添加允许规则：

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

5. 排查其他防火墙工具干扰 #

如果你的宿主机或虚拟机还安装了firewalld、ufw这类防火墙管理工具，它们可能会覆盖手动配置的iptables规则。可以先临时关闭这些工具测试：

# 关闭firewalld
systemctl stop firewalld
# 关闭ufw
ufw disable

如果测试后能正常ping通8.8.8.8，再去调整这些工具的配置，避免直接用iptables手动修改规则被覆盖。

内容的提问来源于stack exchange，提问作者Ovie