linux桥接,数据包还能经过forward链吗？【以解决】

knight8267

测试机是CentOS6.2操作系统， 内核版本为 2.6.32.220.e16..  32位双CPU
在测试时，把两个网口桥接在一起，两端网线分别连接一台客户端和和一台服务器，然后在forward链上加了一条规则，在客户端连接服务器时，规则不起作用。

如客户端的ip是192.168.100.245， 服务器端的ip地址是192.168.100.253， 中间的设备不配ip

但是网上说透明防火墙使用iptables和ebtables进行过滤数据包，可以从物理层传到IP层，会经过forward连，这怎么解释呢？
还有提到ebtables，我没有用到它配置规则。而且我的设备上没有ebtables命令，会不会是内核不支持ebtables？


期待大家的讨论。谢谢

音络科技

这个不是很清楚哦！

knight8267

dev.c中int netif_receive_skb(struct sk_buff *skb)有调用桥的处理函数：

skb = handle_bridge(skb, &pt_prev, &ret, orig_dev);
        if (!skb)
                goto out;


发现有如下宏定义：
#if defined(CONFIG_BRIDGE) || defined (CONFIG_BRIDGE_MODULE)
...
...
static inline struct sk_buff *handle_bridge(struct sk_buff *skb,
                                            struct packet_type **pt_prev, int *ret,
                                            struct net_device *orig_dev)
{
        struct net_bridge_port *port;

        if (skb->pkt_type == PACKET_LOOPBACK ||
            (port = rcu_dereference(skb->dev->br_port)) == NULL)
                return skb;

        if (*pt_prev) {
                *ret = deliver_skb(skb, *pt_prev, orig_dev);
                *pt_prev = NULL;
        }

        return br_handle_frame_hook(port, skb);
}
#else
#define handle_bridge(skb, pt_prev, ret, orig_dev)        (skb)
#endif


CentOS6.2 LiveCD版上面内核编译没有定义上面的两个宏， 不知道这样分析对不对？ 手头上暂时没有编译源代码，还不能确定。

whaaat

2.6.32的内核应该是过的

mutalisk999

2.6.18测试
会经过

knight8267

问题解决了，是CentOS6.2操作系统上面bridge模块是动态加载的，
如果创建一个桥设备brctl addbr br0, 之后就会把brigde.ko加载上，再把两个网卡加上， 这时候只能在二层转发，到不了三层(我在FORWARD链上面加DROP策略后不阻断，所以我这样推断)， 而且系统上面没有安装etables的命令， ebalbes.ko、ebtable_broue.ko、ebt_redirct.ko、ebtable_filter.ko等模块都没有加载 上。

当我手动加载这些模块后，我所加的三层上面的策略就可以生效了。

这是实际测试的结果，