Ha egy VM-nek kell az 1.5.6.7 címen szolgáltatni, akkor miért a host-ta teszed a címet, ráadásul egy bridge-re, amire rákötöd azt a virtuális gépet, aminek azon a címen szolgáltatnia kellene... Nem látom, hogy ez így miért lenne jó, és egyáltalán, miért működne.
Ha azt szeretnéd, hogy a host-on legyen a cím, és DNAT-tal kerüljön a forgalom a megfelelő VM-re, akkor tedd egy loopback if-re (vagy a címnek megfelelő fizikai IF-re) a címet a host-on, legyen DNAT és SNAT a megfelelő VM 192.xxx címével.
De még egyszerűbben járnál, ha a VM-be tennéd az 1.5.6.7/32 címet loopback-ra, és egy route-tal a VM-re menne a forgalom egyenesen.
Vagy, ha az adott cím él egy alhálózaton, amire a host is csatlakozik, akkor a vmbr1-et ahhoz az alhálózathoz kösd, csatold hozzá a VM-et és a VM-ben állítsd be arra a csatolóra ezt a publikus címet.