在充当网络防火墙的计算机上,我安装了一个虚拟机来桥接远程 VPN。从那时起,我注意到连接到上述 VPN 的设备的连接都没有被我应用于 FORWARD 的链过滤,但确实适用于 LAN 上的设备。只有当我添加了如果输入物理设备位于 OUTPUT 上则跳转到链的规则后,virbr0它才应用于虚拟机及其通过 VPN 桥接的设备。
为什么来自虚拟机的流量被归类为 OUTPUT 流量?从逻辑上讲,内核不应该将流量视为来自外部设备吗?
答案1
您已经创建了一个由主机接口和虚拟机接口组成的桥。因此,离开虚拟机的流量本质上只是通过主机的接口从网桥发出,因此是 OUTPUT 流量。主机不会在任何接口上接收它,它只是“出现”在网桥上。
您可能想研究ebtables哪一个类似于iptables但用于桥梁。