Iptables - Bridge และ Forward chain

ฉันมีการตั้งค่าสะพานอีเธอร์เน็ตbr0ที่มีสองอินเตอร์เฟสeth0และtap0

brctl addbr br0
brctl addif eth0
brctl addif tap0
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 10.0.1.1 netmask 255.255.255.0 broadcast 10.0.1.255 

FORWARDนโยบายลูกโซ่เริ่มต้นของฉันคือDROP

iptables -P FORWARD DROP

เมื่อฉันไม่เพิ่มกฎต่อไปนี้การรับส่งข้อมูลจะไม่ผ่านสะพาน

iptables -A FORWARD -p all -i br0 -j ACCEPT

เท่าที่ฉันเข้าใจiptablesมีหน้าที่รับผิดชอบเฉพาะเลเยอร์ IP เท่านั้น

ebtables ควรรับผิดชอบการกรองปริมาณข้อมูลบนอีเธอร์เน็ตบริดจ์

เหตุใดฉันจึงต้องเพิ่มกฎ ACCEPT ในเครือข่าย FORWARD ของ iptable

เนื่องจากรหัส br-nf ที่มีให้เป็นแพตช์ to linux 2.4 และใช้ใน linux 2.6:

รหัส br-nf ทำให้บริดจ์ / แพ็กเก็ต IP ที่เชื่อมต่อผ่านเครือข่าย iptables ตัวกรอง Ebtables บนเลเยอร์ Ethernet ในขณะที่ iptables กรองเฉพาะแพ็กเก็ต IP

เนื่องจากการจราจรที่คุณกำลังทำงานเป็น IP, iptablesกฎยังคงใช้เพราะBR-nfiptablesผ่านแพ็กเก็ตสะพานไป

นี่เป็นแหล่งข้อมูลที่ดีในการอ่านเกี่ยวกับการโต้ตอบและสิ่งนี้มีรายละเอียดเกี่ยวกับการทำงานของรหัสbr-nfรวมถึงวิธีปิดการใช้งานฟังก์ชันทั้งหมดหรือบางส่วน (เช่นไม่ผ่านการรับส่งข้อมูลบริดจ์ไปยัง iptables)

คุณสามารถปิดการทำงานนี้ (ให้ iptables จัดการแพ็คเก็ตบริดจ์) โดยพิมพ์:

echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables

(ดูhttp://ebtables.sourceforge.net/documentation/bridge-nf.html )

หากคุณไม่จำเป็นต้องใช้ iptables กับบริดจ์ในระบบของคุณคุณสามารถปิดการใช้งานถาวรโดยใช้วิธีใดวิธีหนึ่งต่อไปนี้:

1. การเพิ่มกฎ iptables:

iptables -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

2. หรือแก้ไข /etc/sysctl.conf:

net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0

โซ่ ebtables จะไม่เห็นเฟรมเข้าสู่พอร์ตบริดจ์ที่ไม่ส่งต่อ อาจดูที่นี้: http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html