请问iptables对网桥能起过滤作用吗？

w_anthony

查了下资料，网桥的数据转发在数据链路层，但iptables似乎在网络层过滤，这样的话是否是iptables无法过滤通过网桥的数据？这位兄台也提过这个问题http://bbs.chinaunix.net/thread-1925516-1-1.html，似乎是iptables可以过滤网桥数据。
网上也有人说可以用网桥和iptables做防火墙，比如这个http://blog.csdn.net/dlutxie/article/details/8457363和http://blog.chinaunix.net/uid-26893610-id-3202286.html，后者还提到说“下载最新的内核，2.4可能需要下载在网桥模式下的时候让内核能正常支持netfilter的补丁bridge-nf，这个很重要，不打这个patch ， iptables 将无法对通过你网桥包做过滤，2.6就已经自带了”。
但是我的测试系统是CentOS6.7，uname -a显示“Linux xxxxxx 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux”，内核应该已经是2.6以上了。
问题是iptables无论如何都不起作用，即使把FORWARD默认策略改为DROP，网桥内机器还是都可以上网。请问现在是我还少装了哪个东西才导致无法过滤吗？（我大致记得以前系统是CentOS5.5的时候iptables是有作用的）

w_anthony

我终于找到答案了，http://serverfault.com/questions ... e-and-forward-chain，这个老外是奇怪为什么iptables可以过滤网桥数据包，然后下面有个朋友说，可以关掉这个功能，这样数据包就不会经过iptables，“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下，我这个机器这项是0，我改成1，结果iptables就起作用了。我找了那么多资料，可惜就是没有人告诉我还有这么一个配置项。