记录下/proc/sys/net/bridge/bridge-nf-call-iptables原理。

最新推荐文章于 2024-08-13 11:21:41 发布
最新推荐文章于 2024-08-13 11:21:41 发布
阅读量3.2k 收藏 4
点赞数 1
分类专栏: linux内核网络 文章标签: 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flxzlxb/article/details/112849468
版权

当/proc/sys/net/bridge/bridge-nf-call-iptables值为真,表示linux桥下的报文会经过ip层的netfilter框架处理。即可以通过iptables命令来对桥下的报文进行处理。当该值为0时,只能通过ebtables来处理桥下的报文。

以linux内核3.14内核分析:文件/proc/sys/net/bridge/bridge-nf-call-iptables对应到内核中的变量是 brnf_call_iptables。

1、在内核函数br_nf_pre_routing中有一段代码:

        if (!brnf_call_iptables && !br->nf_call_iptables)

                return NF_ACCEPT;

        当上述变量二者有一个为真,即执行该函数后续流程。

2、br_nf_pre_routing函数注册到了NF_BR_PRE_ROUTING钩子点。

3、br_nf_pre_routing函数中调用了nf_bridge_alloc分配skb->nf_bridge。后续的ip层的netfilter钩子点是通过判断nf_bridge是否为空来进行后续操作的。

4、通过grep -rn "NF_INET_"在内核源码net/bridge/目录下进行搜索,可以得到三个ip层的钩子点NF_INET_PRE_ROUTING、NF_INET_FORWARD、NF_INET_POST_ROUTING。这些钩子点会判断skb->nf_bridfe是否为空来进行后续操作,从而可以使得桥下报文进入到ip层的netfiulter处理。

5、br_nf_forward_ip、br_nf_post_routing分别对应NF_INET_FORWARD、NF_INET_POST_ROUTING钩子点。

flxzlxb
关注
专栏目录
net.bridge.bridge-nf-call-iptables=1
tycoon的专栏
11-05 3万+
http://blog.csdn.net/quqi99/article/details/7447233
搭建k8s节点报错[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]:
热门推荐
朱海燕的博客日记
08-21 3万+
[root@k8snode2 k8s_images]# kubeadm join --token f0bc0b.7aa9033c4f7ae16c 192.168.6.7:6443 --discovery-token-ca-cert-hash sha256:ee4c3346ade1c7ce0eeb80a9cce46b7d323886012e3dd15ac49f2ba81a3f0023 [prefli...
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
centos机器 docker安装完成后,输入docker info命令,报如下警告信息解决方法: 1)警告信息如下: WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: 修改系统文件是的机器bridge模式开启 设置机器开机启动的时候执行下面两条命令 编辑vim /etc/rc.d/rc.local添加下面两条命令 echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables echo 1 > /
K8s为啥要启用bridge-nf-call-iptables内核参数
2301_76348206的博客
04-07 774
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
关于bridge-nf-call-iptables的设计问题
互联网
03-09 1054
熟悉ebtables和iptables的都知道,后者提供的选项所能实现的功能要远远多于前者,但这并不是说IP层的功能要比数据链路层的更丰富,因为只要数据包进入网卡,协议栈代码就能“看到”整个数据包,剩下的问题就是如何来解析和过滤的问题了,只要愿意,实际上协议栈完全可以在数据链路层提供和IP层同样的过滤功能,比如ip_conntrack。 然而,协议栈并没有这么实现,因为那样会造成严重的代码冗余,维...
bridge-nf-call-iptables
tycoon的专栏
11-05 6119
static int __init br_init(void) { ... /* 网桥HOOK点注册 */ err = br_netfilter_init(); if (err)    goto err_out1; ... /* 网桥处理接口 */ br_handle_frame_hook = br_handle_frame; ...  } int __in
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal
qq_47904804的博客
06-04 2934
【代码】[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal。
k8s 出错 /proc/sys/net/bridge/bridge-nf-call-iptables does not exist
weixin_44371237的博客
02-14 2645
初始化过程中,可能会遇到“/proc/sys/net/bridge/bridge-nf-call-iptables does not exist”的错误,这是因为之前配置的br_netfilter没有启动
k8s排错过程----出现cgroupfs报错;FileContent --proc-sys-net-bridge-bridge-nf-call-iptables报错;
wnagshuihua的博客
12-30 1133
k8s排错过程----出现cgroupfs报错;FileContent --proc-sys-net-bridge-bridge-nf-call-iptables报错
kubeadm1.19安装报错:ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables 设置错误导致K8s安装失败
m0_47219942的博客
12-08 1944
kubeadm1.19安装报错:ERROR FileContent–proc-sys-net-bridge-bridge-nf-call-iptables 设置错误导致K8s安装失败 报错现象: [root@k8s-node1 ~]# kubeadm join 20.0.0.51:6443 --token 5lw1lr.2vv2quhi21rp1gr9 \ > --discovery-token-ca-cert-hash sha256:e5c54087c16e2ba77b282b48edf8d
FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1
最新发布
10-02
在Linux系统中,`/proc/sys/net/bridge/bridge-nf-call-iptables`是一个内核文件,用于控制Bridge(虚拟网桥)设备是否调用Iptables(网络包过滤器)处理进出的数据包。如果其内容不是1,说明Bridge模块没有将包转发...
Linux配置参数解读:net.bridge.bridge-nf-call-iptables=1
学亮编程手记
01-14 2312
这种技术可以用于实现虚拟化环境中的网络隔离和互联,例如容器化技术中的 Docker 等。通过启用此选项,可以在网络桥接模式下使用 iptables 防火墙规则,对通过虚拟网桥的网络流量进行控制和管理。配置项的作用是启用 Linux 系统中网络桥接模式下的 iptables 包过滤功能,允许对桥接设备上的网络流量进行 iptables 规则的过滤和转发。它的作用是启用网络桥接模式下的 iptables 包过滤功能。需要注意的是,此配置项需要在 Linux 系统级别进行设置,通常位于。命令来加载更新后的配置。
解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist
请叫我刘小帅的博客
05-20 808
【代码】解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist。
/proc/sys/net/bridge/bridge-nf-call-iptables does not exist修复
SHELLCODE_8BIT的博客
08-15 369
【代码】/proc/sys/net/bridge/bridge-nf-call-iptables does not exist修复。
/proc/sys/net/bridge/bridge-nf-call-iptables
weixin_34122810的博客
03-23 1702
/proc/sys/net/bridge/bridge-nf-call-iptables 没有这个文件 使用 modprobe br_netfilter 腾讯云bug 转载于:https://blog.51cto.com/sry2004/2090499
net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
zxygww的专栏
04-13 8546
net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
这次又是 bridge-nf-call-iptables 惹的祸...
云原生实验室
08-30 2145
使用 kubernetes 遇到最多的 70%问题都可以归于网络问题,最近发现如果内核参数: bridge-nf-call-iptables设置不当的话会影响 kubernetes 中 N...
linux net.bridge.bridge-nf-call-iptables几个参数的使用
Emerson的博客
08-13 519
这样的防火墙工具进行过滤和控制,那么将这三个参数都设置为 1 是有意义的。不过,这也可能会增加系统的延迟和资源消耗,因为每次数据包通过桥接设备时都需要被多次检查。请注意,这些参数的设置通常需要管理员权限来修改,并且可能取决于你的系统和网络配置。在默认情况下,Linux 系统可能会根据其特定的安全策略自动调整这些值。是 Linux 系统中用于控制网络桥接时防火墙规则的参数。通常情况下,如果你在使用 Linux 系统并且需要确保网络流量通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值