ebtables中的broute表介绍

最新推荐文章于 2023-08-19 22:29:46 发布
最新推荐文章于 2023-08-19 22:29:46 发布
阅读量1.2w 收藏 19
点赞数 4
分类专栏: Netfilter/Iptables/Ebtables 文章标签: Ebtables Netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxygww/article/details/48056601
版权

ebtables中的broute表功能:

用于控制进来的数据包是需要进行bridge转发还是进行route转发,即2层转发和3层转发。


BROUTING的ACCEPT/DROP和FORWARD中的区别:

 

ACCEPT

DROP

BROUTING

bridge it

route it

FORWARD

接收该包,当前主Chain后面的rule则不再需要对其进行匹配处理

丢弃该包

注:

1、当在BROUTING中执行DROP时,它会在下图的broute/brouting点中直接将包转入iptables;

下表是LAN(192.168.10.2/34:e6:d7:21:0f:65)--PING-->NAT(LAN:192.168.10.1/70:f1:a1:aa:0e:01; WAN:192.168.1.147/70:F1:A1:AA:0E:00)-->WAN PC:(192.168.1.253/00:23:cd:9c:e7:0a)在Netfilter中的流向。(可ping通)

注:在ebtables的BROUTING中对LAN-->WAN方向的数据包添加DROP规则。

LAN-->WAN:

EBT-BROUTING-LAN: IN=eth1 OUT= MAC source = 34:e6:d7:21:0f:65 MAC dest = 70:f1:a1:aa:0e:01 proto = 0x0800
IPT-MANGLE-PREROUTING-LAN:IN=eth1 OUT= MAC=70:f1:a1:aa:0e:01:34:e6:d7:21:0f:65:08:00 SRC=192.168.10.2 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16172 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=13397 
IPT-NAT-PREROUTING-LAN:IN=eth1 OUT= MAC=70:f1:a1:aa:0e:01:34:e6:d7:21:0f:65:08:00 SRC=192.168.10.2 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16172 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=13397 
IPT-MANGLE-FORWARD-LAN:IN=eth1 OUT=br-lan0 SRC=192.168.10.2 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=16172 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=13397 
IPT-FORWARD-LAN:IN=eth1 OUT=br-lan0 SRC=192.168.10.2 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=16172 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=13397 
IPT-NAT-POSTROUTING-LAN:IN= OUT=br-lan0 SRC=192.168.10.2 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=16172 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=13397 
EBT-POSTROUTING-WAN: IN= OUT=eth0.0 MAC source = 70:f1:a1:aa:0e:00 MAC dest = 00:23:cd:9c:e7:0a proto = 0x0800

WAN-->LAN:

EBT-BROUTING-WAN: IN=eth0.0 OUT= MAC source = 00:23:cd:9c:e7:0a MAC dest = 70:f1:a1:aa:0e:00 proto = 0x0800
EBT-NAT-PREROUTING-WAN: IN=eth0.0 OUT= MAC source = 00:23:cd:9c:e7:0a MAC dest = 70:f1:a1:aa:0e:00 proto = 0x0800
IPT-MANGLE-PREROUTING-WAN:IN=br-lan0 OUT= PHYSIN=eth0.0 MAC=70:f1:a1:aa:0e:00:00:23:cd:9c:e7:0a:08:00 SRC=192.168.1.253 DST=192.168.1.147 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9511 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=13400 
EBT-INPUT-WAN: IN=eth0.0 OUT= MAC source = 00:23:cd:9c:e7:0a MAC dest = 70:f1:a1:aa:0e:00 proto = 0x0800
IPT-MANGLE-FORWARD-WAN:IN=br-lan0 OUT=eth1 PHYSIN=eth0.0 SRC=192.168.1.253 DST=192.168.10.2 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=9511 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=13400 
IPT-FORWARD-WAN:IN=br-lan0 OUT=eth1 PHYSIN=eth0.0 SRC=192.168.1.253 DST=192.168.10.2 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=9511 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=13400 


2、如果一个以太网接口eth1,它并没有桥接到br-lan0中,此时,从eth1进来的数据包不会走到ebtables中。
它会在下图中的bridge check点,检查数据包进入的接口是否属于某个桥,如果是则走ebtables,否则直接走iptables。



中下游国外我
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux-ebtables-以太网网桥防火墙
weixin_40342459的博客
10-07 6258
ebtables 和 iptables 一样,主要是做数据包过滤的配置工具, ebtables 主要工作在数据链路层, iptables主要工作IP层和第四层应用层,他们主要做配置工具,底层的数据包过滤机制还是在 netfilter 核心工作组 和iptables 一样, ebtables 也有,链和动作的概念 ebtables 有三张,五条链和四个动作,支持自...
ebtables之BROUTING和PREROUTING的redirect的区别
系统运维
02-17 560
ebtables和iptables实用工具都使用了Netfilter框架,这是它们一致的一方面,然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute的redirect和natPREROUTING的redirect的区别,其实只要记住两点即可,那就是对于相同点,它们都将数据包导向了本地的IP层;对于不同点,broute的redirect将数据包的接收设备设置成了实际...
Ubuntu 21.10 ebtables一个大坑:操作 broute 报错: No chain/target/match by that name
alenliu's blog
04-16 2478
ebtables 一个无语的问题
ebtables 用法
xl365t
06-02 5546
ebtables是一个用于设置和维护以太网帧(Ethernet frames)规则的应用程序。 其有三个主要的概念:tables)、链(chains)、目标(targets) # 链(chains) 每组规则称为链,每个链都是一个有序的规则列,可以匹配以太网帧。 如果一个规则匹配到一个以太网帧,那么有一个处理规范告诉我们如何匹配到的帧,这个处理规范称为目标(targe
ebtables实例
tycoon的专栏
11-05 957
这个实例主要是结合ebtables和TC来实现对用户进行流量控制。
当心-链路层复用加ebtables的broute的恶果
系统运维
08-04 504
链路层复用加上ebtables的broute会取消掉链路层(以太网链路层)本有的MAC地址比对机制,从而产生duplicate数据包。数据包会被复制两份到达目的地,在一些严防重放的环境,将造成网络不可用。这两份数据包为:1.发往网关由网关转发到达目标的数据包,该数据包为正常的。2.由于源和目标处在同一链路层,在HUB环境或者交换机的MAC-端口映射过期的情况下,本来发往网关的数据包将复制一份发...
ebtables使用介绍
to_be_better_wen的博客
02-05 8363
ebtables的使用方法总结
ebtables hook
weixin_30877755的博客
11-08 205
1概述 netfliter框架不仅仅在ipv4有应用,bridge,ipv4,ipv6,decnet这四种协议都有应用,其ipv4又分开了arp和ip的两种 其实netfliter是个大的框架,在ipv4对应的应用层工具是iptables,在bridge对应的应用层工具是ebtables,在arp对应的应用层工具是arptables iptables有raw,filte...
ebtables.docx
01-06
以原子方式加载或更新 在没有奴役桥梁的接口上使用ebtables进行过滤 加快流向桥梁本身的流量 使用标记匹配和目标 使用arpreply进行arp请求并让arp请求填充arp缓存 将目标IP和MAC地址更改为相应的广播地址 将...
ebt_vlan.rar_ebtables
09-21
标题 "ebt_vlan.rar_ebtables" 涉及到的是Linux内核的一个扩展模块,主要用于嵌入式系统,该模块与802.1Q VLAN(虚拟局域网)匹配功能有关。EBTables是一种在Linux内核级别进行网络数据包过滤和转换的工具,类似于...
linux ebtables iptables关联图
06-27
很强大的linux协议栈ebtables\iptables数据处理流程图
iptables与ebtables指南
03-12
非常不错的东西与大家分享,包括iptables指南与ebtables指南
ebtables-2.0.9-6.el6.i686.rpm
07-15
ebtables-2.0.9-6.el6.i686.rpm
ebtables
小楼一夜听春雨
06-03 2968
SYNOPSIS ebtables [-t table ] -[ACDI] chain rule specification [match extensions] [watcher extensions] target ebtables [-t table ] -P chain ACCEPT | DROP | RETURN ebtables [-t table ] -F [chain] ebtables [-t table ] -Z [chain] ebtables [-t table ] -L [-Z]
linux netfilter--broute流程
osnet的博客
08-02 1562
linux netfilter包括层2 bridge的netfilter和层3 ip netfilter 先看bridge的netfilterbrouting流程 brouting用于控制进来的数据包是需要进行bridge转发还是进行route转发,即2层转发和3层转发。 BROUTING 过滤配置为ACCEPT示走bridge流程,DROP示走route 流程。 br_handle_frame \net\bridge br_input.c br_handle_frame 是底层网卡驱动收到数据后开
linux ebtable iptable 用法
sdc20102010的博客
07-07 2052
在网络的世界里 ebtable 和iptable 是非常重要的 二层 和三层 数据 管控 工具, 这两个 appliation 在busybox 都有,可以在busybox 的manualconfig 打开。 ebtable 链路层 数据包策略 工具: 他又基本的三个 和 六个链。 broute ...
ebtables基本使用说明
u011029104的专栏
06-28 4182
Targets: (1)ACCEPT : 让帧通过 (2)DROP: 丢弃帧。 (3)CONTINUE:让帧继续走下面的规则(rule) (4)RETURN: 停止当前链的过滤规则,进而去走前面链的下一条规则 注意:在BROUTING链ACCEPT和DROP有不同的含义:如果是DROP,则规则转发到路由(iptables)去处理 TABLES: 内置三个tables): (1)filter : 默认使用此,并且无需使用 -t 或 -table参数 (2)nat (3)br.
使用ebtables怎么限制不转发到Linux Bridge特定端口的流量
maimang1001的专栏
08-19 311
4.最后,使用以下命令查看ebtables规则的状态:sudo ebtables -L。其,<interface>是要限制的特定端口的名称,例如eth0。使用ebtables工具来配置桥接上的流量过滤规则。1.首先,确保你已经安装了ebtables工具。
ebtables iptables
最新发布
09-01
ebtables是Ethernet Bridge的工具,用于对以太网帧进行过滤和操作。以太网桥是用于连接不同网络的设备,它根据MAC地址将数据从一个网络转发到另一个网络。ebtables可以用来设置规则,例如在桥接设备之间转发特定...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值