IP なしでブリッジ インターフェイスを設定しました。
$ brctl addbr br0
$ brctl addif tap0
$ brctl addif tap1
$ ifconfig br0 up
上記のように、このブリッジは openvpn を介して設定された 2 つの TAP インターフェイスを接続しています。
2 つの TAP インターフェイス間で ping を実行してトラフィックを送信することは問題なくできますが、ブリッジ インターフェイスで tcpdump を実行しようとすると、トラフィックが通過しているのを確認できません。
これは、ブリッジ インターフェイスに IP が割り当てられていないためでしょうか? ブリッジ インターフェイスに IP を割り当てなくても、ブリッジ インターフェイスのトラフィックを確認できる (場合によっては iptables などを通じてブロックできる) 方法はありますか?
答え1
ping が通る場合、ブリッジ インターフェイスにトラフィックがあります。次の適切なオプションを使用してトラフィックを監視できますtcpdump。
tcpdump -elnXXi br0
同様に、iptablesIP層にのみ作用することを考慮すれば、このトラフィックを で完全にフィルタリングできます。ebtablesレイヤー2(イーサネット)でトラフィックをフィルタリングする必要がある場合は、が必要です。