ホストされた仮想マシンからのトラフィックがiptables OUTPUTとして分類されるのはなぜですか?

ホストされた仮想マシンからのトラフィックがiptables OUTPUTとして分類されるのはなぜですか?

ネットワークファイアウォールとして機能するコンピュータにリモートVPNを接続するための仮想マシンをインストールしました。それ以来、上記のVPNに接続されたデバイスの接続は、FORWARDに適用されたチェーンフィルタリングによってフィルタリングされませんが、LAN上のデバイスには適用されることがわかりました。入力物理デバイスがOUTPUTの場合、チェーンにジャンプするルールを追加した後にのみ、virbr0VPNを介してブリッジされた仮想マシンとそのデバイスに適用されます。

仮想マシンのトラフィックが出力トラフィックに分類されるのはなぜですか?論理的に、カーネルはトラフィックを外部デバイスからのものとして扱うべきではありませんか?

答え1

ホストインターフェイスと仮想マシンインターフェイスで構成されるブリッジを作成しました。したがって、仮想マシンを出るトラフィックは、デフォルトでホストインターフェイスを介してブリッジからのものであるため、OUTPUTトラフィックです。ホストは、どのインターフェイスでもそれを受信せずにブリッジに「表示されます」。

橋についてはebtablesどちらが似ているか調べたい場合があります。iptables

関連情報