ネットワークファイアウォールとして機能するコンピュータにリモートVPNを接続するための仮想マシンをインストールしました。それ以来、上記のVPNに接続されたデバイスの接続は、FORWARDに適用されたチェーンフィルタリングによってフィルタリングされませんが、LAN上のデバイスには適用されることがわかりました。入力物理デバイスがOUTPUTの場合、チェーンにジャンプするルールを追加した後にのみ、virbr0
VPNを介してブリッジされた仮想マシンとそのデバイスに適用されます。
仮想マシンのトラフィックが出力トラフィックに分類されるのはなぜですか?論理的に、カーネルはトラフィックを外部デバイスからのものとして扱うべきではありませんか?
答え1
ホストインターフェイスと仮想マシンインターフェイスで構成されるブリッジを作成しました。したがって、仮想マシンを出るトラフィックは、デフォルトでホストインターフェイスを介してブリッジからのものであるため、OUTPUTトラフィックです。ホストは、どのインターフェイスでもそれを受信せずにブリッジに「表示されます」。
橋についてはebtables
どちらが似ているか調べたい場合があります。iptables