免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1684 | 回复: 1

[其他] 请问iptables对网桥能起过滤作用吗? [复制链接]

论坛徽章:
9
摩羯座
日期:2013-08-15 15:18:48狮子座
日期:2013-09-12 18:07:47金牛座
日期:2013-09-16 13:23:09辰龙
日期:2013-10-09 09:03:27白羊座
日期:2013-10-17 13:32:44子鼠
日期:2014-04-23 15:09:38戌狗
日期:2014-09-17 11:37:542015年亚洲杯之韩国
日期:2015-03-26 10:16:442015亚冠之武里南联
日期:2015-08-18 14:55:52
发表于 2015-11-09 16:53 |显示全部楼层
查了下资料,网桥的数据转发在数据链路层,但iptables似乎在网络层过滤,这样的话是否是iptables无法过滤通过网桥的数据?这位兄台也提过这个问题http://bbs.chinaunix.net/thread-1925516-1-1.html,似乎是iptables可以过滤网桥数据。
网上也有人说可以用网桥和iptables做防火墙,比如这个http://blog.csdn.net/dlutxie/article/details/8457363http://blog.chinaunix.net/uid-26893610-id-3202286.html,后者还提到说“下载最新的内核,2.4可能需要下载在网桥模式下的时候让内核能正常支持netfilter的补丁bridge-nf,这个很重要,不打这个patch , iptables 将无法对通过你网桥包做过滤,2.6就已经自带了”。
但是我的测试系统是CentOS6.7,uname -a显示“Linux xxxxxx 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux”,内核应该已经是2.6以上了。
问题是iptables无论如何都不起作用,即使把FORWARD默认策略改为DROP,网桥内机器还是都可以上网。请问现在是我还少装了哪个东西才导致无法过滤吗?(我大致记得以前系统是CentOS5.5的时候iptables是有作用的)

论坛徽章:
9
摩羯座
日期:2013-08-15 15:18:48狮子座
日期:2013-09-12 18:07:47金牛座
日期:2013-09-16 13:23:09辰龙
日期:2013-10-09 09:03:27白羊座
日期:2013-10-17 13:32:44子鼠
日期:2014-04-23 15:09:38戌狗
日期:2014-09-17 11:37:542015年亚洲杯之韩国
日期:2015-03-26 10:16:442015亚冠之武里南联
日期:2015-08-18 14:55:52
发表于 2015-11-09 17:25 |显示全部楼层
我终于找到答案了,http://serverfault.com/questions ... e-and-forward-chain,这个老外是奇怪为什么iptables可以过滤网桥数据包,然后下面有个朋友说,可以关掉这个功能,这样数据包就不会经过iptables,“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下,我这个机器这项是0,我改成1,结果iptables就起作用了。我找了那么多资料,可惜就是没有人告诉我还有这么一个配置项。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP