记录下/proc/sys/net/bridge/bridge-nf-call-iptables原理。

最新推荐文章于 2024-05-20 10:07:58 发布
最新推荐文章于 2024-05-20 10:07:58 发布
阅读量3k 收藏 4
点赞数 1
分类专栏: linux内核网络 文章标签: 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flxzlxb/article/details/112849468
版权

当/proc/sys/net/bridge/bridge-nf-call-iptables值为真,表示linux桥下的报文会经过ip层的netfilter框架处理。即可以通过iptables命令来对桥下的报文进行处理。当该值为0时,只能通过ebtables来处理桥下的报文。

以linux内核3.14内核分析:文件/proc/sys/net/bridge/bridge-nf-call-iptables对应到内核中的变量是 brnf_call_iptables。

1、在内核函数br_nf_pre_routing中有一段代码:

        if (!brnf_call_iptables && !br->nf_call_iptables)

                return NF_ACCEPT;

        当上述变量二者有一个为真,即执行该函数后续流程。

2、br_nf_pre_routing函数注册到了NF_BR_PRE_ROUTING钩子点。

3、br_nf_pre_routing函数中调用了nf_bridge_alloc分配skb->nf_bridge。后续的ip层的netfilter钩子点是通过判断nf_bridge是否为空来进行后续操作的。

4、通过grep -rn "NF_INET_"在内核源码net/bridge/目录下进行搜索,可以得到三个ip层的钩子点NF_INET_PRE_ROUTING、NF_INET_FORWARD、NF_INET_POST_ROUTING。这些钩子点会判断skb->nf_bridfe是否为空来进行后续操作,从而可以使得桥下报文进入到ip层的netfiulter处理。

5、br_nf_forward_ip、br_nf_post_routing分别对应NF_INET_FORWARD、NF_INET_POST_ROUTING钩子点。

flxzlxb
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s为啥要启用bridge-nf-call-iptables内核参数?用案例给你讲明白
2401_84167086的博客
04-11 661
这份清华大牛整理的进大厂必备的redis视频、面试题和技术文档祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!牛整理的进大厂必备的redis视频、面试题和技术文档**祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
centos机器 docker安装完成后,输入docker info命令,报如下警告信息解决方法: 1)警告信息如下: WARNING: bridge-nf-call-iptables is ...echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables echo 1 > /
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal
qq_47904804的博客
06-04 2447
【代码】[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal。
K8s部署部署遇到问题及解决方法
你的微笑乱了夏天
05-27 4969
问题1:To see the stack trace of this error execute with --v=5 or higher 这是因为服务器的内存及处理器内核总数配置过低导致,需要提升配置 问题2:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist 解决方法 modprobe br_netfilter echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables e
解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist
最新发布
请叫我刘小帅的博客
05-20 345
【代码】解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist。
K8s为啥要启用bridge-nf-call-iptables内核参数?用案例给你讲明白(2)
2301_82241702的博客
04-17 812
第一种可能性很容易排查,之前已经确认了 ipvs 规则、iptables 规则都是没有问题的,且通过 ClusterIP 发起的请求可以到达 PodIP 上, 基本就排除了可能性一另外,对比正常跟异常请求会发现,异常的请求原 Pod 跟目标 pod 都是在同一个 Node 上,而正常的请求则处于不同的 Node,会是这个影响吗?上面的可能性二,只能祭出抓包神器了, 通过抓包发现(抓包过程见文未)会发现请求中出现了。
docker的WARNING: bridge-nf-call-iptables is disabled解决
weixin_56160310的博客
10-26 4432
执行docker info出现如下警告 WARNING: bridge-nf-call-iptablesisdisabled WARNING: bridge-nf-call-ip6tables is disabled 解决办法: vim /etc/sysctl.conf 添加以下内容 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 最后再执行 sysctl -p 此时dock..
host-bridge.rar_Linux/Unix编程_Unix_Linux_
08-11
开发者需要熟悉`/sys`和`/proc`文件系统中的相关接口,以及使用`pcilib`(Linux 2.4内核)或`pciutils`(Linux 2.6及以上内核)提供的工具来访问PCI设备信息。 源代码文件`host-bridge.c`可能包括以下内容: 1. PCI...
Odin编程语言-C/C++开发
05-26
一种快速,简洁,可读,...为现代系统构建的简单高性能编程的乐趣网站:https://odin-lang.org/ package main import“ core:fmt” main :: proc(){program:=“ + + *:grinning_face_with_big_eyes:-/”; 累加器:=
ParTcl-微型Tcl实现-C/C++开发
05-26
Partcl-最小的Tcl解释器具有〜600行的“ pedantic” C99代码...proc名称args body return break继续算术运算:+,-,*,/ 、、 <=,> =,==,!=用法struct tcl tcl; const char * s = “ set x 4; puts [+ [* $ x 1
Cryproc (CryptoAPI access through /proc)-开源
04-26
通过读写/proc下的文件,用户可以获取到内核的实时信息,或者向内核发送指令。Cryproc利用这一特性,创建了一个接口,使用户空间的应用可以安全地访问内核加密服务。 2. **CryptoAPI概述** CryptoAPI是许多操作...
树莓派安装K8S显示/proc/sys/net/bridge/bridge-nf-call-iptables:没有这个文件或者目录
纯粹的博客
07-31 1546
树莓派安装K8S显示/proc/sys/net/bridge/bridge-nf-call-iptables:没有这个文件或者目录 执行以下语句 modprobe br_netfilter 转载于https:https://blog.51cto.com/sry2004/2090499
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or directorysysctl:
zai路上的博客
10-26 1424
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or directory sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: No such file or directory net.ipv4.ip_forward = 1
linux上kvm虚拟机网络不通的问题解决方法
weixin_42915431的博客
12-02 2万+
本文针对linux上虚拟机网络不通问题方法总结 问题是这样的,宿主机上以桥接模式安装kvm虚拟机,宿主机网络正常,但是虚拟机内部ping除宿主机以外的机器都ping不通,也只有宿主机能ssh到该虚拟机。 首先排查宿主机网络是否正常,对应网卡是否启用等。 1、查看宿主机网桥状态 [root@localhost ~]# brctl show bridge name bridge id
linux snat mac 桥,关于SNAT在bridge中不生效的问题
weixin_42299066的博客
05-13 395
本周在协助验证一套虚拟网络的方案,该方案包含一个bridge,向上对接容器的veth,并接管真实NIC作为tx口,方案中需要在bridge中做SNAT,具体hook点位于POST_ROUTING,命令如下:iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.5为了验证该方案,我创建了一对vet...
【软路由】旁路由使用配置教程
热门推荐
博客
05-01 3万+
【软路由】旁路由使用配置教程简介旁路由好处旁路由配置步骤1、修改管理地址网段 简介 我们都知道,软路由一般有两种使用方式,一种是作为承担DHCP分配的主路由,而另一种就是作为不承担DHCP分配功能的旁路由使用。今天就来介绍如何将软路由配置成为旁路由。 旁路由好处 旁路由最大的好处就是它不承担DHCP分配任务,这意味着它的对网络的影响极小。即使突然故障也不会导致整个网络瘫痪。更别提软路由的配置复杂,用户可能还经常修改上面的网络配置,一旦出错就是整个网络瘫痪,如果家中还有其他人使用网络,影响实在是不好。 建议有
网桥调用IP层netfilter的HOOK函数
redwingz的博客
05-24 6927
Linux中的网桥属于二层转发设备,可利用ebtables工具根据数据包的ethernet头等信息,配置规则,如下,将目的MAC地址为00:01:02:03:04:05的数据包,转发到目的MAC地址为00:06:07:08:09:0a的主机上:ebtables -t nat -A PREROUTING -d 00:01:02:03:04:05 -j dnat --to-destination 00...
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1
05-26
这个错误提示是在使用docker时出现的,它表示你的Linux内核没有开启bridge-nf-call-iptables功能,这会导致docker网络无法正常工作。要解决这个问题,你可以按照以下步骤操作: 1. 检查你的系统是否支持bridge-nf-call-iptables功能: ``` sysctl net.bridge.bridge-nf-call-iptables ``` 如果输出为0或者不存在,则表示没有开启该功能。 2. 临时开启bridge-nf-call-iptables功能: ``` sysctl -w net.bridge.bridge-nf-call-iptables=1 ``` 这个命令可以临时开启bridge-nf-call-iptables功能,但是重启后会失效。 3. 永久开启bridge-nf-call-iptables功能: 在/etc/sysctl.conf文件最后加上一行: ``` net.bridge.bridge-nf-call-iptables = 1 ``` 然后执行命令: ``` sysctl -p ``` 这样就可以永久开启bridge-nf-call-iptables功能了。 完成上述步骤后,重新启动docker服务,就不会再出现这个错误提示了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值