Iptables - Chuỗi cầu và chuyển tiếp

Tôi đã thiết lập cầu ethernet br0có chứa hai giao diện eth0vàtap0

brctl addbr br0
brctl addif eth0
brctl addif tap0
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 10.0.1.1 netmask 255.255.255.0 broadcast 10.0.1.255 

FORWARDChính sách chuỗi mặc định của tôi làDROP

iptables -P FORWARD DROP

Khi tôi không thêm quy tắc sau, giao thông sẽ không đi qua cầu.

iptables -A FORWARD -p all -i br0 -j ACCEPT

Theo tôi hiểu iptableslà chỉ chịu trách nhiệm cho lớp IP.

ebtables phải chịu trách nhiệm lọc lưu lượng trên cầu ethernet.

Vậy tại sao tôi phải thêm quy tắc ACCEPT trong chuỗi FORWARD của iptable?

Do mã br-nf có sẵn dưới dạng bản vá cho linux 2.4 và được sử dụng trong linux 2.6:

Mã br-nf làm cho các khung / gói IP được bắc cầu đi qua các chuỗi iptables. Bộ lọc Ebtables trên lớp Ethernet, trong khi iptables chỉ lọc các gói IP.

Vì lưu lượng truy cập bạn đang làm việc là ip, nên iptablescác quy tắc vẫn được áp dụng do br-nf chuyển các gói cầu nối tới iptables.

Đây là một tài nguyên tuyệt vời để đọc về sự tương tác và tài liệu này chi tiết chức năng của mã br-nf , bao gồm cách vô hiệu hóa tất cả hoặc một số chức năng (nghĩa là không chuyển lưu lượng cầu đến iptables).

Bạn có thể vô hiệu hóa hành vi này (để iptables xử lý các gói được bắc cầu) bằng cách nhập:

echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables

(xem http://ebtables.sourceforge.net/documentation/bridge-nf.html )

Các chuỗi ebtables sẽ không thấy các khung hình nhập vào một cổng cầu không chuyển tiếp. Có thể xem cái này: http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

Nếu bạn không có nhu cầu sử dụng iptables với cây cầu trên hệ thống của mình, bạn có thể vô hiệu hóa nó vĩnh viễn bằng cách sử dụng một trong các cách sau:

1. Thêm quy tắc iptables:

iptables -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

2. Hoặc chỉnh sửa /etc/sysctl.conf:

net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0