iptables：接口上的 DROP 不执行任何操作，但如果我不指定接口，它就会起作用

Question

iptables在路由层工作。它在桥接层不起作用。一旦eth1设置为桥接端口，它就不再参与路由。这意味着不会看到数据包通过路由eth1，并且通常不会穿越iptables一点儿也不。

`br_netfilter`，桥接和iptables

有一个问题：当br_netfilter模块加载（通常通过 Docker），iptables也会过滤桥接IPv4 帧。OP 的问题暗示模块已加载。下图中绿色方框显示了这种情况（iptables蓝色区域（以太网桥接）中填写“处理 IPv4”字段：

在这种情况下，任何桥接帧看起来都iptables通过处理此帧的桥接器（br0）进行传输。eth1仍然不能像路由接口一样被引用。相反，这需要特殊的physdev模块（也会触发的加载br_netfilter）来指定桥接端口。必须注意区分桥接流量和路由流量，因为iptables会看到两者。此文档可帮助处理更复杂的规则集：基于 Linux 的网桥上的 ebtables/iptables 交互第 7 节。

因此，最后，当模块br_netfilter被加载时，或者无论如何通过以下规则加载时，为了实现目标，下面非常简单的示例就可以了。由于我没有来自 OP 的有关 Docker 或其他任何内容的背景信息，我必须强制 FORWARD 的策略为 ACCEPT 并首先插入规则，因为如果默认策略是 DROP 并且 Docker 加载了自己的规则，那么这个简单的例子就远远不够了：

iptables -P FORWARD ACCEPT
iptables -F FORWARD

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 2 -m physdev --physdev-in eth1 -j DROP

nftables

这需要内核 >= 5.3。

请注意，如果没有理由加载br_netfilter（例如运行 Docker），则不要使用iptables为此，可以使用nftables直接在适当的位置：桥家庭，因为nftables可以使用连接跟踪桥接系列中直接提供状态防火墙的功能，没有这个临时解决方案（最初是因为ebtables不能用连接跟踪）。

因此，我们可以将这个br_netfilter模块全部删除：

rmmod br_netfilter

这样做会破坏 Docker。

或者仅br_netfilter在当前网络命名空间和当前桥（默认情况下未启用，但为了彻底起见）中加载时禁用功能（失败的测试意味着未加载模块）：

if sysctl -n net.bridge.bridge-nf-call-iptables 2>/dev/null; then
    sysctl -qw net.bridge.bridge-nf-call-iptables=0
    ip link set dev br0 type bridge nf_call_iptables 0
fi

每个命名空间的切换或者桥接切换足以激活该功能：必须同时禁用两者才能禁用它。

否则仍会影响iptables并且nftables在 ip 家族中（nftables没有工具可以正确处理这个问题）。如果 Docker 正在运行并且位于同一个网络命名空间（主机）中，这样做也会破坏 Docker，除非它实际上是在另一个网络命名空间中运行的 Docker-in-Docker。

等效nftables 桥接系列中直接的规则集是（使用加载nft -f ...）：

table bridge t {
    chain forward { type filter hook forward priority filter; policy accept;
        ct state established,related accept
        iif eth1 drop
    }
}

Answer 1

iptables在路由层工作。它在桥接层不起作用。一旦eth1设置为桥接端口，它就不再参与路由。这意味着不会看到数据包通过路由eth1，并且通常不会穿越iptables一点儿也不。

`br_netfilter`，桥接和iptables

有一个问题：当br_netfilter模块加载（通常通过 Docker），iptables也会过滤桥接IPv4 帧。OP 的问题暗示模块已加载。下图中绿色方框显示了这种情况（iptables蓝色区域（以太网桥接）中填写“处理 IPv4”字段：

在这种情况下，任何桥接帧看起来都iptables通过处理此帧的桥接器（br0）进行传输。eth1仍然不能像路由接口一样被引用。相反，这需要特殊的physdev模块（也会触发的加载br_netfilter）来指定桥接端口。必须注意区分桥接流量和路由流量，因为iptables会看到两者。此文档可帮助处理更复杂的规则集：基于 Linux 的网桥上的 ebtables/iptables 交互第 7 节。

因此，最后，当模块br_netfilter被加载时，或者无论如何通过以下规则加载时，为了实现目标，下面非常简单的示例就可以了。由于我没有来自 OP 的有关 Docker 或其他任何内容的背景信息，我必须强制 FORWARD 的策略为 ACCEPT 并首先插入规则，因为如果默认策略是 DROP 并且 Docker 加载了自己的规则，那么这个简单的例子就远远不够了：

iptables -P FORWARD ACCEPT
iptables -F FORWARD

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 2 -m physdev --physdev-in eth1 -j DROP

nftables

这需要内核 >= 5.3。

请注意，如果没有理由加载br_netfilter（例如运行 Docker），则不要使用iptables为此，可以使用nftables直接在适当的位置：桥家庭，因为nftables可以使用连接跟踪桥接系列中直接提供状态防火墙的功能，没有这个临时解决方案（最初是因为ebtables不能用连接跟踪）。

因此，我们可以将这个br_netfilter模块全部删除：

rmmod br_netfilter

这样做会破坏 Docker。

或者仅br_netfilter在当前网络命名空间和当前桥（默认情况下未启用，但为了彻底起见）中加载时禁用功能（失败的测试意味着未加载模块）：

if sysctl -n net.bridge.bridge-nf-call-iptables 2>/dev/null; then
    sysctl -qw net.bridge.bridge-nf-call-iptables=0
    ip link set dev br0 type bridge nf_call_iptables 0
fi

每个命名空间的切换或者桥接切换足以激活该功能：必须同时禁用两者才能禁用它。

否则仍会影响iptables并且nftables在 ip 家族中（nftables没有工具可以正确处理这个问题）。如果 Docker 正在运行并且位于同一个网络命名空间（主机）中，这样做也会破坏 Docker，除非它实际上是在另一个网络命名空间中运行的 Docker-in-Docker。

等效nftables 桥接系列中直接的规则集是（使用加载nft -f ...）：

table bridge t {
    chain forward { type filter hook forward priority filter; policy accept;
        ct state established,related accept
        iif eth1 drop
    }
}

iptables：接口上的 DROP 不执行任何操作，但如果我不指定接口，它就会起作用

答案1

`br_netfilter`，桥接和iptables

nftables

相关内容

答案1

br_netfilter，桥接和iptables

nftables

相关内容

`br_netfilter`，桥接和iptables