【linux下的网桥（bridge）包过滤和地址转发】

大饼卷馒头

已于 2023-08-09 10:20:24 修改

阅读量1.8k

点赞数

文章标签： linux 运维

于 2023-08-09 09:57:48 首次发布

原文链接：http://blog.chinaunix.net/uid-20182470-id-5877565.html

版权

linux下的网桥（bridge）包过滤和地址转发

在 Linux 中，网桥过滤和地址转发是两个网络功能，用于网络数据包的处理和转发。

网桥过滤和地址转发

网桥过滤（Bridge Filtering）：网桥是一个网络设备，用于将不同的网络接口，连接在一起，使得它们可以在同一网络中通信。网桥过滤是指在网桥上对网络数据包进行过滤和处理的功能。
当网络数据包，从一个接口进入网桥后，网桥会根据数据包的目的 MAC 地址判断该数据包应该从哪个接口转发出去。网桥过滤功能可以根据配置的过滤规则来决定是否允许或阻止特定类型的数据包通过网桥。
网桥过滤功能对于构建局域网和划分网络子网非常有用。它可以帮助过滤掉不需要的数据包，提高网络的安全性和性能。

地址转发（IP Forwarding）：地址转发是指在一个网络设备上将收到的网络数据包，从一个网络接口转发到另一个网络接口的功能。当启用地址转发功能后，Linux 系统可以作为一个网络路由器，将数据包，从一个网络转发到另一个网络。
地址转发功能涉及到网络层的处理，主要是根据数据包的目的 IP 地址和路由表来确定数据包应该被转发到哪个网络接口。

地址转发在构建复杂的网络架构、连接不同网络之间、实现网络分割和实现互联网接入等场景中起到关键作用。

需要注意的是，在启用地址转发功能之前，还需要进行其他一些网络配置，如设置正确的路由表、网络地址转换（NAT）等，以确保数据包能够正确地转发到目标网络。

综上所述，网桥过滤和地址转发是 Linux 中常用的网络功能，可以帮助管理和优化网络流量，实现不同网络设备之间的通信和数据转发。

Linux下配置网桥过滤和地址转发功能

实现网桥模式下进行IP包过滤，即使用netfilter，需要修改 Linux 的内核参数并添加网桥过滤和地址转发功能，同时确保内核编译时开启。

确认内核编译时CONFIG_BRIDGE_NETFILTER配置项被编译：

Centos 8: 查看/boot/config-4.18.0-193.el8.x86_64,该文件记录了内核特性

[15:35:19 root@centos8 ~]#grep -m 10 NETFILTER /boot/config-4.18.0-193.el8.x86_64 
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=y		##确保该配置项已开启
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_FAMILY_BRIDGE=y
CONFIG_NETFILTER_FAMILY_ARP=y
# CONFIG_NETFILTER_NETLINK_ACCT is not set
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m

修改 Linux 的内核参数并添加网桥过滤和地址转发功能：

使用vim编辑器打开 /etc/sysctl.d/kubernetes.conf 文件，如果文件不存在，需要手动创建一个新文件，在编辑器中添加以下配置内容到文件中：

net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1

按下 Esc 键退出插入模式，输入 :wq 并按下 Enter 键保存文件并退出 vi 编辑器。

运行以下命令以使新的内核参数配置生效：

sysctl --system

检查br_netfilter是否挂载

lsmod | grep br_netfilter

检查net.bridge.bridge-nf-call-iptables

# 检查 bridge netfilter 是否开启
sysctl net.bridge.bridge-nf-call-iptables

# 0 表示未开启，1表示已开启
net.bridge.bridge-nf-call-iptables = 1

现在，你已经成功修改了 Linux 的内核参数，并添加了网桥过滤和地址转发功能。

网桥过滤就是不同的局域网之间传输数据包的吗?

是的，你可以将网桥过滤视为在不同的局域网之间传输数据包的一种方式。

在一个局域网中，设备可以直接通过交换机或集线器进行通信，因为它们位于同一广播域内。但是，如果你想将数据包，从一个局域网传输到另一个局域网，就需要使用网桥或路由器。

网桥是一种网络设备，可以连接多个局域网，并根据数据包的目的 MAC 地址来决定数据包应该转发到哪个局域网。当一个数据包到达网桥时，网桥会检查目的 MAC 地址，并根据配置的过滤规则将数据包转发到适当的局域网。

因此，网桥过滤实际上是指在网桥上对数据包进行过滤和决策的过程，以确定数据包应该转发到哪个局域网。这样，不同的局域网之间就可以通过网桥进行数据传输。

需要注意的是，网桥过滤是基于 MAC 地址的过滤，它只适用于局域网内的数据包转发。如果要在不同的 IP 子网之间传输数据包，则需要使用路由器和地址转发功能。

网桥和路由器的区别？

网桥（Bridge）和路由器（Router）是用于连接和转发网络数据的两种不同的网络设备。它们有以下区别：

工作层次：

网桥：网桥工作在第二层（数据链路层）网络，根据目的 MAC 地址来转发数据包。它将多个局域网（广播域）连接在一起，使得设备可以直接通信，就像它们在同一个局域网中一样。
路由器：路由器工作在第三层（网络层）网络，根据目的 IP 地址来转发数据包。它能够连接不同的 IP 子网，根据路由表中的信息选择{BANNED}{BANNED}最佳佳佳路径将数据包，从一个网络传递到另一个网络。

数据转发方式：

网桥：网桥通过学习和维护连接到它的各个网络接口的 MAC 地址和端口之间的映射表，直接在局域网内转发数据包。它不对数据包进行任何修改。
路由器：路由器根据路由表中的信息对数据包进行处理和转发。它会检查数据包的目的 IP 地址，并根据{BANNED}{BANNED}最佳佳佳路径选择将数据包转发到下一个网络接口。

范围和跨网络能力：

网桥：网桥适用于连接位于同一广播域内的多个设备，它们共享相同的 IP 子网。网桥无法连接不同的 IP 子网。
路由器：路由器能够连接不同的 IP 子网，并根据目标 IP 地址的网络前缀选择转发路径，实现跨网络的数据传输。

网络隔离和安全性：

网桥：网桥将连接的设备放置在同一个广播域内，它们可以直接相互通信。这意味着广播和组播数据包可以在整个网桥内传播，无法提供网络隔离和安全性。
路由器：路由器能够隔离不同的 IP 子网，根据路由表控制数据包的转发。它提供了网络隔离和安全性，可以控制数据包的流动。

总的来说，网桥主要用于在同一广播域内连接多个局域网，而路由器用于连接不同的 IP 子网，并实现网络隔离和数据转发。它们在工作层次、数据转发方式、范围和网络隔离方面有明显的区别。根据网络需求和拓扑结构，可以选择使用网桥或路由器来满足特定。

那什么时候用网桥，什么时候用路由器呢？

网桥的场景：

连接同一广播域内的多个局域网：如果你有多个局域网（子网）位于同一广播域内，并且希望它们能够直接通信，而不需要进行网络隔离和跨子网的路由功能，那么网桥是一个适合的选择。

扩展局域网：当你需要扩展现有的局域网，以支持更多设备并提供更大的网络容量时，网桥可以帮助将多个网络接口连接在一起，扩展网络范围。

路由器时的场景：

连接不同的 IP 子网：如果你有多个 IP 子网之间需要进行数据传输，或者需要实现不同子网之间的网络隔离和安全性，那么路由器是必需的。路由器能够根据路由表中的信息选择{BANNED}{BANNED}最佳佳佳路径将数据包，从一个子网转发到另一个子网。
互联网接入：当你需要将局域网连接到互联网时，通常需要使用路由器。路由器可以执行网络地址转换（NAT）功能，将内部私有 IP 地址转换为公共 IP 地址，并在内部网络和外部互联网之间进行数据转发。

需要注意的是，某些设备（如多功能设备）可能同时具备网桥和路由器的功能，可以根据需求进行配置。此外，对于更复杂的网络架构，可能需要同时使用网桥和路由器，以满足不同的需求。

局域网和广播域的关系、区别？

局域网（Local Area Network，LAN）和广播域（Broadcast Domain）是两个相关但不完全相同的概念，描述了网络中设备通信和广播传输的范围和限制。

局域网（LAN）：局域网是指一个较小的、局限于特定地理区域（如办公室、校园、企业等）的计算机网络。在局域网内，设备可以通过物理连接（如以太网）或无线连接（如Wi-Fi）相互连接，并进行本地通信。局域网通常由交换机或集线器等设备连接起来，允许设备之间直接通信，无需经过路由器或其他设备。

广播域（Broadcast Domain）：广播域是指一个共享相同广播信息的范围。在一个广播域中，当一个设备发送广播消息时，该消息会被广播到该广播域内的所有设备。每个局域网通常形成一个单独的广播域。在同一个广播域内，广播消息可以被所有设备接收到。

关系和区别

关系：通常情况下，一个局域网形成一个广播域。这意味着在同一个局域网内的设备可以相互发送和接收广播消息。局域网内的设备属于同一个广播域。
区别：局域网是一个物理或逻辑上连接的设备集合，允许设备之间直接通信。广播域则是指共享相同广播信息的设备范围。一个广播域可以涵盖一个或多个局域网，但一个局域网通常只包含一个广播域。

需要注意的是，如果使用路由器或其他设备将多个局域网连接起来，它们会形成不同的广播域。在这种情况下，广播消息不会跨越不同的广播域传播，只会限制在各自的广播域内传播。

理解局域网和广播域的概念对于网络设计、配置和故障排除非常重要。合理划分广播域可以控制广播流量，提高网络性能和安全性。

一个广播域是如何涵盖多个局域网的？

一个广播域一般不会涵盖多个局域网。事实上，广播域和局域网是相互关联但不同的概念。

广播域是指一个共享相同广播信息的范围，而局域网是一个物理或逻辑上连接的设备集合。通常情况下，一个局域网对应一个广播域，这意味着在同一个局域网内的设备可以相互发送和接收广播消息。

当多个局域网通过路由器或三层交换机连接起来时，它们会形成不同的广播域。路由器会隔离广播消息，使其在每个广播域内进行传播，从而限制广播消息不会跨越不同的广播域。

因此，多个局域网之间的广播消息通常不会互通。如果需要实现广播消息在不同局域网之间的传播，需要特定的广播消息中继或广播代理等机制来处理。

一个广播域可以包括多个局域网吗？

一个广播域是一个逻辑上的边界，限制了广播消息的传播范围。广播消息在广播域内进行传输，被该广播域内的所有设备接收。

通常情况下，一个局域网（LAN）对应一个广播域。一个局域网是由一组直接相连的设备组成，它们可以通过交换机或集线器进行通信，并在同一广播域内共享广播消息。

如果存在多个局域网，并且它们通过路由器或三层交换机连接起来，每个局域网将成为一个独立的广播域。路由器或三层交换机将广播消息隔离在每个广播域内，限制了广播消息不会跨越不同的广播域传播。

在典型的网络设计中，为了控制广播流量和提高网络性能，通常会将不同的局域网划分为不同的广播域。这样可以减少广播消息的传播范围，防止广播风暴和冲突，并提高网络的可靠性和安全性。

因此，一般情况下，一个广播域对应一个局域网，而不会涵盖多个局域网。

如果用网桥把多个局域网连接起来，这几个局域网就共享了一个广播域，对吗？

是的，当使用网桥将多个局域网连接起来时，这几个局域网将共享一个广播域。

网桥是一个用于连接多个局域网的设备，它可以接收、过滤和转发数据帧。当网桥接收到一个广播数据帧时，它会将该广播数据帧转发到所有其他与之连接的局域网上。这样，所有连接到网桥的局域网上的设备都能够接收到该广播消息。

通过使用网桥连接多个局域网，这些局域网形成了一个共享的广播域。广播消息可以在这个广播域内进行传播，所有局域网上的设备都能够接收到广播消息。这种设置有助于实现跨局域网的通信和广播传输。

需要注意的是，使用网桥连接多个局域网会扩大广播域的范围，增加广播流量和广播消息传播的范围。这可能会对网络性能产生一定的影响。因此，在设计网络时，需要综合考虑广播域的大小、广播流量的控制以及网络性能的需求，以确保网络正常运行。

参考文档：
1、https://netfilter.org/documentation（Netfilter官方文档）
2、https://zhuanlan.zhihu.com/p/618848653（《一篇搞懂》系列之一 —— iptables）
3、https://zhuanlan.zhihu.com/p/440970417（集线器、网桥、交换机的区别）
4、https://blog.csdn.net/qq_43684922/article/details/127333368（k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1）