Mi működik? Mikor leírsz ilyet légy szíves fogalmazz már egyértelműen, és legalább azt olvasd el mi van az előzmény írásban. A slendriánság (nehogy személyesre vedd, rohadt sokan így írják) az kiütközik itt is. Az iptables egy frontend és egy userland rész a kernelben lévő netfilter nevezetű csomagszűrő tűzfalnak nevezett kódhoz.
A bridge-lt csomagok nem minden esetben mennek át a netfilter routingra felállított részén, ezért a filter table FORWARD chainben deklarált szabályok általában nem vonatkozhatnak rájuk (bridge nf hook pl kivétel). Pláne hogy ha nem tudod pontosan mit akarsz, akkor nem célszerű nekiállni iptables frontend-el konfigurálni a bridge szűrést.
Ha úgy állsz neki megfogni egy DDOS-t, vagy legalább tesztelni, hogy nem tudod mit csinálsz, a kapott eredmény is igen homályos lesz.
Figyelmedbe ajánlanám a következő két linket:
A linux bridge/routing tűzfal együttműködéséről és a csomagkezelésről ezt
különös tekintettel erre az ábrára.
A fenti leírások a netfilter eb (ethernet bridges) kódjára vonatkozó hivatkozások.
A 2.6-os kernel óta Létezik lehetőség, hogy átvezesd a bridge-nf kódon is a bridgelt csomagokat, ha a sysctl net.bridge.bridge-nf-call-iptablesha 1-et ad, akkor tapasztalhatod hogy a filter table a bridgelt csomagokra is vonatkozik ezért tapasztalhatod a fenti működést. (továbbra is ajánlott az ebtables és az ott található filter)
Komplett NF ip flow
Hogy örülhessen mindenki, és ha nem szakad teljesen félbe akkor a mostani ip/arp/ebtables frontendeket le fogja cserélni az nftables frontend...
Mikrotik esetén különösen igaz a fenti, mint írtam a terméktámogatásuk csapnivaló, de a legtöbbször a hiba oka hogy a felhasználó nem ismeri a szoftvert. Néha ez azért van, mert nincs is dokumentálva, néha csak szarul van dokumentálva, de a legtöbbször csak az user nem ismeri, ezért a fenti példához hasonlóan ezt a linket ajánlom sokat segít terhelési tervezésnél. Persze azt sem árt, hogy ha tudod, hogy a mikrotik mögött is ugyanaz a megoldás működik mint amit fenti link is taglal, csak más a konfig felület, van néhány extra driver és modul.
