¿Cómo crear un firewall transparente / en línea / puente mediante nftables?

1

Estoy atascado en la configuración de nftables.

table bridge filter {
    chain input { type filter hook input priority -200; policy accept;}
    chain forward {
        type filter hook forward priority -200; policy drop;
        ip protocol icmp counter accept;
    }
    chain output { type filter hook output priority 200; policy accept;}

Tengo un par de preguntas. La regla ip protocol icmp counter accept;no funciona. El contador muestra un paquete de +1 en unos minutos y el ping no funciona. ¿Qué estoy haciendo mal?

Severgun
fuente

Respuestas:

0

Primero debe permitir que funcione la resolución ARP. La resolución de IP local se basa en ARP:

nft add rule bridge filter forward ether type arp accept

De lo contrario, al intentar hacer ping, la resolución de arp falla y obtienes algo como esto en un nodo que intenta cruzar el puente:

# ip neigh show eth0
192.168.1.7 dev eth0  FAILED
AB
fuente