Не за забудьте так же подгрузить сами правила в файлервол.
Без участия netfilter трафик может маршрутизироваться только если в системе нет самого модуля ядра netfilter, если он есть, то классическая маршрутизация(ее первый этап после попадания сетевого пакета на интерфейс) производится только при применении netfilter, и только после срабатывания хуков PREROUTING от netfilter. А потому в большинстве случаев срабатываний netfilter(как основы iptables, обертка может быть и другой) не избежать.
да, наверное, я был не совсем конкретен, ответил чисто интуитивно, по памяти была какая-то ситуация, а какая вспомнить не мог, сейчас повспоминал лучше, вот что там было:
Нет более низкой модели OSI, она одна, есть более низкий или более высокий уровень в рамках одной модели OSI, но netfilter работает на 2-3-4 уровнях, а потому мимо него трафик проходить в системах linux никак не может, при его наличии в ядре, разве что если целенаправленно отключены или модифицированых хуки в его структурах, но это тоже весьма редкий и крайне нестандартный случай, так как отключить их на всем пути следования почти невозможно без полной остановки самого модуля. И стадия маршрутизации пакетов реализуется после срабатывания netfilter хуков на пути следования пакетов. возможно еще что вы просто не там или не так отлавливали пакеты-)
если всё так просто, зачем тогда нужен br_netfilter?
br_netfilter не обрабатывает трафик отдельно от netfilter, а наоборот-в его контексте и под его контролем(даже исходя из его названия нетрудно догадаться), соответственно с проведением пакетов черех хуки всех соответствующих уровней которым предназначен, к тому же что пакет идущий через мост в конечное приложение или поднимающийся на соответствующий уровень маршрутизации, без которой маршрутизация не осуществляется-тем более. и кто сказал что все просто, не просто, но вполне очевидно.
вернёмся к началу
тезис доказан?
Нет, не доказан, точнее не в том смысле что имеете в виду вы, вы говорите исключительно об интерфейсе моста для которого и предназначена функция br_netfilter, и поскольку в данном случае, они потенциально будут фильтроваться уже не на интерфейсах моста, а далее. Ведь вы должны понимать, что пакеты попадают на вируальный мост исключительно с основного хоста(основного интефейса хоста), где фильтацию никто не отменял и отменить ее невозможно. И счетчики при этом, будут срабатывать на основном интефейсе к которому привязан мост даже при отключенной возможности фильтрации на интерфейсе моста. Это как раз то о чем я кстати упомнинал выше как об исключительной возможности, но не исключающей фильтрацию на уровне других шагов. Изучите как ходит трафик внутри linux машины через всю цепь от вхождения в интерфейс и до любой из возможных целей, включая мосты, которые практически всегда привязаны к реальным интерфейсам, либо/и встроены в общий сетевой стек.
всё, дружище, я понял, где мы расходимся. долго думал, что за "хост" такой, причём здесь "хост", а сейчас понял. вы говорите о виртуализации, так? но я нигде не упоминал о виртуализации. видимо вас ввело в заблуждение, что о мостах чаще говорят в контексте докера или других систем? но нет, я подразумевал просто некий абстрактный мост, поднятый через ip link например.
Бро, независимо от того, в контексте виртуализации(той ее формы о которой видимо говорите вы) или вне виртуализации используется мост, он всегда в рамках системы и внутри нее привязан к основному интерфейсу хоста и работает в общем контексте сетевого стека, где netfilter все равно функционирует. Отключить его(частично) можно только в рамках виртуального интерфейса. Ведь любой мостовый интерфейс внутри linux системы является именно виртуальным интерфесом(тут bridge = виртуализированный интерфейс основной системы), как ни крути-) А потому наблюдая трафик на нем(мониторингом структур ядру, либо же снифферами) - вы возможно и не увидите срабатываний счетчиков(и то не факт, сильно зависит от конкретной реализации стека на низком уровне), а вот глядя на общий стек и на тот интерфейс к которму привязан мост-уже скорее всего увидите. И конечно на пути от одного интерфейса к другому, не имеет значения кого именно, трафик все равно будет d jghtltktyys[ vtcnf[ перехватывать и обрабатываться netfilter. Исключение-это целенаправленный обход хуков netfilter в ядре системы нестандартным образом, например перехватывая вызовы и прерывания и/или обнуляя счетчики.
