.log

業務系ITナンデモ屋の日々得ては失われていく知識を書き留めておくメモ。
日記は苦手ですが将棋ネタなんかも書いています。内容は無保証・無責任です。

ブリッジしているときにパケットをiptablesにかける


Linuxのiptables使ってファイアウォールやKVM環境を構築するためbrctlを使っている場合に有効。
基本的にCentOS5向けだけど、どこでも応用できると思う。

ブリッジのパケットをiptablesで処理できるようにする

/etc/sysctl.conf に以下を追加
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1
設定を反映させる
$ sudo /sbin/sysctl -p

これでiptablesのFORWARDで処理できるようになる。


iptablesでインタフェースごとにパケットを処理する


例えばeth0とeth1をブリッジさせている場合、FORWARDチェーンに対してphysdevモジュールを使うことで、ETH0、ETH1チェーンに流すことができる。
$ iptables -A FORWARD -m physdev --physdev-in eth0 -j ETH0
$ iptables -A FORWARD -m physdev --physdev-in eth1 -j ETH1


コメントする

名前
 
  絵文字
 
 
記事検索
  • ライブドアブログ