Eu tenho um host linux executando o kernel 3.10 com duas interfaces em ponte: eth0 e eth1 como brid00 sem IP.
A ponte funciona bem, mas agora quero filtrar parte do tráfego que passa pela ponte, mas as regras do iptables não estão funcionando.
Eu habilitei net.bridge.bridge-nf-call-iptables(todo o tráfego é IPv4) e net.ipv4.ip_forwardestou usando o módulo physdev para correspondência.
Por exemplo, tentar bloquear todas as solicitações ICMP com
iptables -A FORWARD -p icmp -m physdev --physdev-in eth0 --physdev-out eth1 -j DROP
não tem efeito. Alguma pista sobre o que está acontecendo? Acho que esse tipo de filtragem foi possível sem o uso de ebtables (meu plano futuro é usar nfqueue em alguma filtragem avançada, então preciso do iptables para disparar as regras com o tráfego da ponte).