kernel version:2.6.32.61
openstack neutron的security group会用到kernel的bridge-nf-call-iptables feature。使流过桥的流量也进入iptables/netfilter框架中。
可以通过以下proc查看kernel是否开启了bridge-nf-call-iptables:
# cat /proc/sys/net/bridge/bridge-nf-call-iptables
1
这个proc是定义在以下位置:
在桥的NF_BR_PRE_ROUTING处理函数中,会根据brnf_call_iptables的值判断是否需要去过一下iptables的NF_INET_PRE_ROUTING的hock点
net/bridge/br_netfilter.c
<
openstack neutron的security group会用到kernel的bridge-nf-call-iptables feature。使流过桥的流量也进入iptables/netfilter框架中。
可以通过以下proc查看kernel是否开启了bridge-nf-call-iptables:
# cat /proc/sys/net/bridge/bridge-nf-call-iptables
1
这个proc是定义在以下位置:
net/bridge/br_netfilter.c
985 static ctl_table brnf_table[] = {
...
993 {
994 .procname = "bridge-nf-call-iptables",
995 .data = &brnf_call_iptables,
996 .maxlen = sizeof(int),
997 .mode = 0644,
998 .proc_handler = brnf_sysctl_call_tables,
999 },
在桥的NF_BR_PRE_ROUTING处理函数中,会根据brnf_call_iptables的值判断是否需要去过一下iptables的NF_INET_PRE_ROUTING的hock点
net/bridge/br_netfilter.c
<