Я хотел бы фильтровать пакеты, проходящие через виртуальный мост на машине Fedora Linux. Я включил следующие параметры sysctl, как описано в нескольких руководствах:
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1
Если один пакет передается с одного порта на другой, я ожидаю, что он будет передан через FORWARDING цепочка filter таблица таблиц ip (6), но это не так.
Есть ли что-то, что нужно настроить дополнительно?
Мануэль
Вы ищете ebtables / brouting. Он является частью ядра 2.6 и позволяет принимать решения на уровне 2 на основе информации уровня 3.
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
Я использовал это в предыдущей компании для создания прозрачного моста Ethernet, который перенаправлял бы (DNAT) указанные пакеты на локальный интерфейс на хосте.