ファイアウォール（iptables）がブリッジ（brctl）に干渉するのはなぜですか？

br02つのインターフェースに「接続」されたブリッジをセットアップしました。

• eth0、実際のLANに接続されている物理インターフェース、
• vnet0、KVM仮想インターフェース（Windows VMに接続）。

そして、私はフォワードチェーンにこの単一のファイアウォールルールを持っています：

iptables -A FORWARD -j REJECT

これで、機能している唯一のpingは、VMからホストへのものです。

br0インターフェイスは、私のホストマシンのIPアドレスを所有しています。eth0そして、vnet0ビューのホストの観点から、任意のIPを「所有」しません。Windows VMには静的IP構成があります。

私のiptablesルールをに変更した場合ACCEPT（またはさらに制限の厳しいものを使用した場合iptables -A FORWARD -o br0 -j ACCEPT）、すべてが正常に機能します！（つまり、VMから任意のLANマシンにpingを実行でき、その逆も可能です）。

すべてのIP転送カーネルオプションが無効になります（などnet.ipv4.ip_forward = 0）。

では、netfilterファイアウォールは、有効にさえされていないものをどのようにブロックできるのでしょうか。

さらに、VM-LANトラフィックはeth0、およびのみを意味しvnet0ます。それでも、-o br0「作品」を使用してFORWARDトラフィックを許可するように見えます（ただし、私は慎重にチェックしませんでした）。

StéphaneChazelasからのコメントは、答えのヒントを提供します。

Bridge-nfのよくある質問によると、bridge-nfはiptables、ip6tables、arptablesがブリッジされたトラフィックを確認できるようにします。

カーネルバージョン2.6.1以降、bridge-nf動作制御用の5つのsysctlエントリがあります。

• bridge-nf-call-arptables -ブリッジされたARPトラフィックをarptablesのFORWARDチェーンに渡します。
• bridge-nf-call-iptables -ブリッジされたIPv4トラフィックをiptablesのチェーンに渡します。
• bridge-nf-call-ip6tables -ブリッジされたIPv6トラフィックをip6tablesのチェーンに渡します。
• bridge-nf-filter-vlan-tagged -ブリッジされたVLANタグ付きARP / IPトラフィックをarptables / iptablesに渡します。
• net.bridge.bridge-nf-filter-pppoe-tagged -ブリッジされたpppoeタグ付きIP / IPv6トラフィックを{ip、ip6}テーブルに渡す

netfilterファイアウォールブロッキングを無効にするには、次のようにします。

# sysctl -w net.bridge.bridge-nf-call-iptables=0
# sysctl -w net.bridge.bridge-nf-call-ip6tables=0