我想过滤通过Fedora Linux机器上的虚拟桥接的数据包。 我已经启用了以下多个指南中所述的sysctl选项:
net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 如果一个数据包从一个端口跨接到另一个端口,我期望它通过ip(6)表的filter表的FORWARDING链传递,但事实并非如此。
有什么需要额外configuration吗?
曼努埃尔
你正在寻找ebtables / brouting。 它是2.6内核的一部分,可以让你根据第3层信息做出第2层的决定。
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
我在以前的公司使用这个技术来创build一个透明的以太网桥,它将把指定的数据包redirect到主机上的一个本地接口。