Bridge a chain FORWARD v iptables

[Jan Houstek]

BuFran wrote:
>   V řetězci FORWARD v IPTABLES mám nastaven limit pingu na 1/sec burst
> 5 což by odpovídalo tomu že pakety jdoucí přes rozhraní br0 jdou přes
> řetězec FORWARD. jenže na linux.cz jsem z článků o routování přečetl,
> že FORWARD prochází pouze v okamžiku kdy dochází k aplikaci routovací
> tabulky, tedy  paket prochází z jednoho rozhraní na jiné. Ale to by v
> případě br0 nepřipadalo v úvahu protože do br0 paket vstoupí a opustí
> jej bez routování.

Záleží na verzi kernelu. Ve 2.4 bez úprav bridgeované pakety netfilterem 
vůbec neprochází, ve 2.6 ano. Ale i do 2.4 je možné toto chování změnit 
je dost možné, že to nejnovější vanilla mají též v sobě.

Každopádně to, zda pakety prochází nebo neprochází netfilterem zjistíte 
snadno tak, že si tam dáte nějaké pravidlo s prázdným targetem a 
zkontrolujete jeho counter.

-- Honza Houštěk