Добрый день!

Есть проблема:

Через бридж не проходит весь трафик, а только широковещательный.

Нашел следующее описание проблемы

cause: Network bridges will not forward all traffic across the bridge. By definition, a bridge will forward broadcast traffic. Other network traffic is only forwarded when the target (MAC address) is on the the other side of the traffic; if the MAC address is not on the other side of the traffic, then it will not be forwarded.

solution: You will need to set up forwarding rules in "ip tables" to forward all traffic through the bridge. Unfortunately, there are too many variables for this document to detail how to do it.

Подскажите, пожалуйста. как с помощью iptables пробросить через бридж весь трафик, оставив его неизмененным.

Спасибо.

• bridge does not forward all traffic through the bridge     ,Andrey Mitrofanov, 14:03 , 13-Фев-13
  • bridge does not forward all traffic through the bridge     ,madnokia, 15:04 , 13-Фев-13
    • bridge does not forward all traffic through the bridge     ,Andrey Mitrofanov, 15:16 , 13-Фев-13
• bridge does not forward all traffic through the bridge     ,ALex_hha, 14:41 , 13-Фев-13
• bridge does not forward all traffic through the bridge     ,PavelR, 17:25 , 13-Фев-13
  • bridge does not forward all traffic through the bridge     ,madnokia, 08:24 , 14-Фев-13
• bridge does not forward all traffic through the bridge     ,Ilya, 23:14 , 17-Фев-13

>с помощью iptables пробросить через бридж весь трафик

1. пропустить, не "пробросить"

2. попробуй

-A FORWARD -i br0 -o br0 -j ACCEPT

или что-то подобное.

>>с помощью iptables пробросить через бридж весь трафик
> 1. пропустить, не "пробросить"
> 2. попробуй
> -A FORWARD -i br0 -o br0 -j ACCEPT
> или что-то подобное.

а что принудит этот трафик идти именно через бридж, как я понимаю это правило только разрешает такой трафик, но не говорит "если ты из br0 то иди на br1"
Правильно ли я понимаю?

> а что принудит этот трафик идти

Электричество из розетки.

>говорит "если ты из br0 то иди на br1"

Роутинг?

И тогда, -A FORWARD -i br0 -o br1 -j ACCEPT + -A FORWARD -i br1 -o br0 -j ACCEPT
Но я, когда надо было, включал в один мост физ.eth0 и tap-ы от KVM-ов.

А вот про заставить "идти с моста на мост"... Я, пожалуй, ещё послушаю - может, кто ещё чего скажет.

> Правильно ли я понимаю?

Что!

Странно, возможно имелось ввиду ebtables

Description : Ethernet bridge tables is a firewalling tool to transparently filter network
            : traffic passing a bridge. The filtering possibilities are limited to link
            : layer filtering and some basic filtering on higher network layers.
            :
            : This tool is the userspace control for the bridge and ebtables kernel
            : components.
            :
            : The ebtables tool can be used together with the other Linux filtering tools,
            : like iptables. There are no known incompatibility issues.

# sysctl -a |grep bridge
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-vlan-tagged = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0

?

> # sysctl -a |grep bridge
> net.bridge.bridge-nf-call-arptables = 0
> net.bridge.bridge-nf-call-iptables = 0
> net.bridge.bridge-nf-call-ip6tables = 0
> net.bridge.bridge-nf-filter-vlan-tagged = 0
> net.bridge.bridge-nf-filter-pppoe-tagged = 0
> ?

Это в первую очередь пробовал. не помогло

http://www.opennet.me/base/net/rp_filter_trouble.txt.html