Jump to content

странность с iptables

sirmax
 Share

Recommended Posts

sirmax

sirmax

Posted
Posted

Коллеги, что то я запутался.

Есть тестовый стенд

 

+---------------------------------------+
|                          +----BR0---+ | 
|        [VirtualMachine1]-tap1------eth2--------[sWITCH opt 82 insertion]-->---+
|                          +----------+ |                                       |
| Server                                |                                       |
|                                    eth1.2001----<-----------------------------+
+---------------------------------------+

 

Cхемка такая собрана для тестирования, и я сталкнулся со следующей проблемой:

Траффик идущий с виртуальной машины никогда не попадает в iptables под правила вида:

 

iptables -t nat -I PREROUTING  --in-interface eth1.2001

 

Вопрос - можно ли каким-то образом поменять данное поведение?

sirmax

sirmax

Posted
  • Author
Posted

Setting

sysctl net.bridge.bridge-nf-call-iptables=0

to disable passing

bridged packets to netfilter shouldf fix the problem

Решило мою проблему.

 

Когда понял что пакеты обрабатываются на бридже:

Chain PREROUTING (policy ACCEPT 1346 packets, 64320 bytes)
   pkts      bytes target     prot opt in     out     source               destination         
   1346    64320            all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      4      404            all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
      0        0            all  --  eth1.2001 *       0.0.0.0/0            0.0.0.0/0

Стало ясно куда копать

 

Как всегда пока писал пост - сформулировал проблему четко сам для себя, что помогло ее решить .

Ilya Evseev

Ilya Evseev

Posted
Posted

Как всегда пока писал пост - сформулировал проблему четко сам для себя, что помогло ее решить .

На будущее - если слишком узкое правило не перехватывает пакеты,

пишите широкое с "-j LOG" и смотрите в /var/log/messages характеристики пакетов.

Они иногда бывают неочевидными :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.