私の設定では、2つの物理インターフェイスにブリッジがあります。
[root@CentOS8-Middle ~]# nmcli c s
NAME UUID TYPE DEVICE
br0 6bb79a71-235e-4c1b-b1bb-33262214144b bridge br0
vbr0-port1 bf6b5b16-0e64-4802-928f-534564203af3 ethernet ens224
vbr0-port2 251016a7-38e7-4390-a69a-8a91c37c64db ethernet ens256
ens192 573ba4c1-1c97-4704-ba36-c75a69635e8e ethernet ens192
[root@CentOS8-Middle ~]#
次のようにして、iptalbesからトラフィックをフィルタリングし、nfqフィルタに送信できます。
-A FORWARD -i br0 -p icmp -j NFQUEUE --queue-num 1 --queue-bypass
しかし、トラフィックが入ってくる物理インターフェイスに基づいてフィルタリングしたいと思います。私は次の行を試しました。
iotables -I FORWARD -i ens256 -p icmp -j NFQUEUE --queue-num 1 --queue-bypass
iptables -I INBOUND -i ens256 -p icmp -j NFQUEUE --queue-num 1 --queue-bypass
iptables -I OUTBOUND -i ens256 -p icmp -j NFQUEUE --queue-num 1 --queue-bypass
走るたびに
iptables -L -nv
FORWARDチェーン内のすべてのトラフィックを表示できます。大丈夫ですか?それ以外の場合は、(NetworkManagerの代わりに)転送にiptalblesを使用する必要がありますか?
ベストアンサー1
以下のルールは私の懸念を解決するようです。
iptables -I FORWARD -m physdev --physdev-is-bridged --physdev-in ens256 --physdev-out ens224 -j NFQUEUE --queue-num 1 --queue-bypass
iptables -I FORWARD -m physdev --physdev-is-bridged --physdev-in ens224 --physdev-out ens256 -j NFQUEUE --queue-num 2 --queue-bypass