首先建立網橋:(使用bridge) 示例 橋接eth0 與 eth1 網口
/sbin/modprobe bridge /usr/sbin/brctl addbr br0 /sbin/ifup eth0 /sbin/ifup eth1 /usr/sbin/brctl addif br0 eth0 /usr/sbin/brctl addif br0 eth1 /sbin/ip link set br0 up
橋接成功后需要DROP掉iptables的FORWARD鏈:
使用命令:
iptables -P FORWARD DROP
由於網橋工作於數據鏈路層,在iptables沒有開啟 bridge-nf時,數據會直接經過網橋轉發,結果就是對FORWARD的設置失效;
centos默認不開啟 bridge-nf
啟動bridge-nf方式:編輯文件vim /etc/sysctl.conf 添加:
net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1
進行該配置后,執行命令
/sbin/sysctl -p
iptables對於網橋的操作開始生效。