br0
İki arabirime "bağlı" bir köprü kurdum :
eth0
, fiziksel arayüzüm gerçek LAN'a bağlı,vnet0
, bir KVM sanal arabirimi (Windows VM'ye bağlı).
Ve ileri zincirde bu tek güvenlik duvarı kuralı var:
iptables -A FORWARD -j REJECT
Şimdi, çalışan tek ping VM'den ana bilgisayara.
br0
Arayüz benim ana makinenin IP adresini sahibi. eth0
ve vnet0
ana bilgisayar bakış açısından hiçbir IP'ye "sahip değil". Windows VM'nin statik bir IP yapılandırması vardır.
Değişim benim Eğer iptables
kuralı ACCEPT
(hatta daha kısıtlayıcı kullanmak iptables -A FORWARD -o br0 -j ACCEPT
, her şey çalışıyor cezası)! (yani VM'den herhangi bir LAN makinesine ping atabilirim, ve diğer yönde de).
Tüm IP yönlendirme çekirdek seçenekleri devre dışıdır (gibi net.ipv4.ip_forward = 0
).
Peki, netfilter güvenlik duvarı etkin olmayan bir şeyi nasıl engelleyebilir?
Ayrıca, VM - LAN trafiği yalnızca eth0
ve vnet0
. Yine de -o br0
"çalışır" ile İLERİ trafik izin gibi görünüyor (Ben çok dikkatle olsa kontrol etmedi).
sysctl -a | grep bridge-nf
net.bridge.bridge-nf-call-arptables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-filter-vlan-tagged = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0