我正在使用 brctl 在 Linux 机器上进行桥接。现在我必须通过 iptables 扫描和监控桥接流量。
因此我改变了:
net.bridge.bridge-nf-call-iptables = 0 到 net.bridge.bridge-nf-call-iptables = 1在/etc/sysctl.conf
并在 iptables 中添加以下规则:
/sbin/iptables -A INPUT -m physdev --physdev-in eth2 -p tcp -m tcp --dport 3127 -m state --state NEW -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -m physdev --physdev-in eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3127
为了实现 eth2 和端口 80 的流量应该重定向到我的 Linux 机器上的 3127。
并且它对于正常(未标记)流量运行良好。
因此我必须对标记流量执行相同的操作,但它不起作用。
我变了:
net.bridge.bridge-nf-filter-vlan-tagged = 0 到 net.bridge.bridge-nf-filter-vlan-tagged = 1在/etc/sysctl.conf
帮助我标记流量。
谢谢。
答案1
如果您的流量被标记,那么您面临的网络将被称为 eth1.X 和/或 eth2.Y。您是否相应地设置了新的 iptable 规则?