Lösung 1:
Aufgrund des br-nf-Codes, der als Patch für Linux 2.4 verfügbar ist und in Linux 2.6 verwendet wird:
Der br-nf-Code lässt überbrückte IPframes/Pakete durch die iptableschains gehen. Ebtables filtert auf der Ethernet-Schicht, während iptables nur IP-Pakete filtert.
Da der Verkehr, an dem Sie arbeiten, ip ist, iptables wegen br-nf gelten die Regeln immer noch Übergeben der überbrückten Pakete an iptables .
Dies ist eine großartige Ressource, um mehr über die Interaktion zu erfahren, und diese beschreibt die Funktionalität von br-nf Code, einschließlich der Deaktivierung aller oder einiger Funktionalitäten (d. h. keine Weiterleitung von Bridge-Verkehr an iptables).
Lösung 2:
Sie können dieses Verhalten deaktivieren (iptables überbrückte Pakete verarbeiten lassen), indem Sie Folgendes eingeben:
echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables
(siehe http://ebtables.sourceforge.net/documentation/bridge-nf.html)
Lösung 3:
Wenn Sie iptables nicht mit der Bridge auf Ihrem System verwenden müssen, können Sie es dauerhaft deaktivieren, indem Sie eines der folgenden verwenden:
- Hinzufügen einer iptables-Regel:
iptables -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT
- Oder Bearbeiten von /etc/sysctl.conf:
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0