配置bridge后,透传的数据包未经过iptables问题的解决

最新推荐文章于 2023-02-19 18:43:55 发布
最新推荐文章于 2023-02-19 18:43:55 发布
阅读量1k 收藏
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/ureyishere/blog/631751
版权

初始环境为两台运行LinuxMint的虚拟机,一台linux内核为3.19(1),另一台内核为3.13(2)。

希望在两台虚拟机中配置bridge防火墙,配置bridge后两台虚拟机都成功成为桥接设备(到达eth0的数据包,经过bridge接口透明传输至eth1,反之亦然)。

配置iptables:

iptables -P FORWARD DROP

配置后,数据包无法透明传输通过机器(2),但依然能通过机器(1)。

这说明经过机器(1)bridge接口的数据包未经过iptables,经过一番搜寻,原因可能为bridge-nf-call-iptables未配置。通过sysctl进行设置报错:

sysctl -w net.bridge.bridge-nf-call-iptables=1
:cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: No such file or directory

查看/proc文件夹下,/proc/sys/net/bridge文件夹都不能存在。

又经过一番搜寻,可能是某些模块未加载,但此时bridge模块肯定是加载了的,不然bridge功能都应当无法工作。

查看/lib/modules/$(uname -r)/kernel/net/bridge文件夹下面的文件,机器(1)比机器(2)在bridge.ko和netfilter文件夹外还多了一个br_netfilter.ko文件。立刻加载之,再查看/proc/sys/net/bridge文件夹就有了,bridge-nf-call-iptables也有了。

查看两个系统在/boot下面的内核config文件,搜索bridge,有一条配置不同:

机器(1)中为:CONFIG_BRIDGE_NETFILTER=m

机器(2)中为:CONFIG_BRIDGE_NETFILTER=y​

猜想这应该就是导致br_netfilter以模块的形式存在于机器(1)中的原因吧。真是坑。。。。

记录在此,如果有人遇到类似的问题,希望能够搜索到。

转载于:https://my.oschina.net/ureyishere/blog/631751

cheyo809775692
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
centos机器 docker安装完成后,输入docker info命令,报如下警告信息解决方法: 1)警告信息如下: WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: 修改系统文件是的机器bridge模式开启 设置机器开机启动的时候执行下面两条命令 编辑vim /etc/rc.d/rc.local添加下面两条命令 echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables echo 1 > /
【linux下的网桥(bridge)包过滤和地址转发
最新发布
zhaoyi40233的博客
08-09 1419
在linux中,网桥的包过滤和地址转发是两个网络功能,往往用于网络数据包的处理和转发
修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
01-10
iptables里面仅仅开放了80、21等常用端口,这样就导致了vsFTPd在被动模式时无法使用随机端口,从而造成了客户端连接FTP时无法列出目录这样的问题解决方式很简单,给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables。具体做法如下: 1、修改/etc/vsftpd/vsftpd.conf的配置文件,在文件末端添加: 代码如下:pasv_max_port=6666pasv_min_port=5555/etc/init.d/vsftpd restart 2、添加一条防火墙规则 代码如下:/etc/init.d/iptables stopiptables -I INP
iptables-tracer:将跟踪点插入正在运行的配置中,以观察数据包通过iptables链的路径
05-07
iptables跟踪器 将跟踪点插入正在运行的配置中,以观察数据包通过iptables链的路径。 用法 $ iptables-tracer -f "-s 192.0.2.1 -p tcp --dport 443" -t 30s 14:42:00.284882 raw PREROUTING 0x00000000 IP 192.0.2.1.36028 > 203.0.113.41.443: Flags [S], seq 3964691400, win 29200, length 0 [In:eth0 Out:] 14:42:00.287255 mangle PREROUTING 0x00008000 IP 192.0.2.1.36028 > 203.0.113.41.443: Flags [S], seq 3964691400, win 29200, length 0 [I
iptables入门到进阶
qq_44564366的博客
06-18 1034
iptables防火墙(转载)netfilter和iptablesiptables工作原理netfilter的链netfilter的表iptables命令查看链管理 防火墙(转载) 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火和主机防火墙并不中突,可...
linux 网络透传,配置bridge后,透传数据包经过iptables问题解决
weixin_39788703的博客
05-05 670
初始环境为两台运行LinuxMint的虚拟机,一台linux内核为3.19(1),另一台内核为3.13(2)。希望在两台虚拟机中配置bridge防火墙,配置bridge后两台虚拟机都成功成为桥接设备(到达eth0的数据包,经过bridge接口透明传输至eth1,反之亦然)。配置iptablesiptables -P FORWARD DROP配置后,数据包无法透明传输通过机器(2),但依然能通过机...
Linux 网桥模式下使用netfilter
白水白水的专栏
03-26 4684
工作中需要实现网桥模式下进行IP包过滤,即使用netfilter,发现Linux 内核已经支持,但默认没有打开,需要做如下改动: 1. 确保内核编译时开启 CONFIG_BRIDGE_NETFILTER 2. /proc/sys/net/bridge/bridge-nf-call-iptables 必须置为1,目前openwrt 版本默认关闭此选项导致桥接无法抓到包,需要修改/
Linux-网桥原理分析(二)
wt0427的专栏
07-18 1310
4 网桥的实现 在内核,网桥是以模块的方式存在,注册源码路径:\net\brige\br.c: 4.1 初始化   static int __init br_init(void) {     br_fdb_init(); //网桥数据库初始化,分配slab缓冲区 #ifdef CONFIG_BRIDGE_NETFILTER     if (br_netf
linux内核模块的编译,Linux内核模块编译方式
weixin_42117224的博客
05-01 214
一、加入Konfig方式,make menuconfig添加Konfig## 802.1d Ethernet Bridging#config BRIDGEtristate "802.1d Ethernet Bridging"select LLCselect STPdepends on IPV6 || IPV6=n---help---If you say Y here, then your Linu...
Docker与iptables及实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
Kubernetes一 Kubernetes之入门
东风麦芽糖
02-19 961
Kubernetes介绍 Kubernetes集群搭建
k8s基础
u014225032的博客
01-03 1885
k8s安装步骤
iptables进阶
qq_52804302的博客
07-07 32
黑白名单机制 前文中一直在强调一个概念:报文在经过iptables的链时,会匹配链中的规则,遇到匹配的规则时,就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为ACCEPT或者DROP。 那么,当链的默认策略设置为ACCEPT时,如果对应的链中没有配置任何规则,就表示接受所有的报文,如果对应的链中存在规则,但是这些规则没有匹配到报文报文...
Linux网桥实现分析
mabin2005的专栏
11-17 2300
1.前言 本文结合网络上关于Linux网桥的说明、Linux平台的代码阅读记录,整理的一篇总结性文档。由于时间仓促,分析可能存在不足之外,望大家见谅和指正。 对于接触过Linux网络的童鞋,对网桥功能应该不陌生。概括来说,网桥实现最重要的两点: 1.MAC学习:学习MAC地址,起初,网桥是没有任何地址与端口的对应关系的,它发送数据,还是得想HUB一样,但是每发送一个数据,它都会关心数据包的来源MAC是从自己的哪个端口来的,由于学习,建立地址-端口的对照表(CAM表)。 2.报文转发:...
防火墙应用
weixin_43332972的博客
10-06 1357
firewalld
OpenStack Neutron浅析(三)
bob的博客
06-30 648
1. 基础知识 1.1 防火墙(firewall) 防火墙是依照特定的规则来控制进出它的网络流量的网络安全系统。一个典型的场景是在一个受信任的内网和不受信任的外网比如 Internet 之间建立一个屏障。防火墙可以是电脑上运行的软件,也可以是独立的硬件设备。 与负载均衡器类似,按照其工作的网络层次,防火墙可以分为: 网络层防火墙(四层):网络层防火墙可视为一种 IP封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防
modprobe
Kason_iWiki
05-22 1639
Modprobe modprobe:用于向内核中加载模块或者从内核中移除模块。 modprobe br_netfilter 加载模块 modprobe -r br_netfilter 移除 1、查看系统中所有modules(包括已加载和加载的) ls -alRUv /lib/modules/$(uname -r)/kernel 2、查看已加载的模块 lsmod 或 cat /proc/modules 3、检查某一module的信息 [root@yinwu ~]# modinfo br_ne
iptables 配置 cve-1999-0128 问题
06-03
针对 CVE-1999-0128 漏洞,可以使用 iptables 防火墙进行配置以...但是需要注意的是,iptables 配置需要慎重,不当的配置可能会导致网络连接出现问题。建议在进行 iptables 配置之前,先备份原有的 iptables 配置文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值