Почему мой брандмауэр (iptables) мешает работе моего моста (brctl)?

Я настроил мост br0, «присоединенный» к двум интерфейсам:

• eth0, мой физический интерфейс подключен к реальной локальной сети,
• vnet0, виртуальный интерфейс KVM (подключенный к виртуальной машине Windows).

И у меня есть это единственное правило брандмауэра в прямой цепочке:

iptables -A FORWARD -j REJECT

Теперь единственный работающий пинг — от виртуальной машины к хосту.

Интерфейс br0владеет IP-адресом моей хост-машины. eth0и vnet0не "владеет" никаким IP с точки зрения хоста. У Windows VM есть статическая конфигурация IP.

Если изменить iptablesправило на ACCEPT(или даже использовать более ограничительное iptables -A FORWARD -o br0 -j ACCEPT), все будет работать нормально! (т.е. я смогу пинговать любую машину локальной сети с виртуальной машины, и наоборот тоже).

Все параметры ядра IP-пересылки отключены (например net.ipv4.ip_forward = 0, ).

Итак, как брандмауэр Netfilter может блокировать то, что даже не включено?

Более того, трафик VM - LAN должен подразумевать только eth0и vnet0. Тем не менее, похоже, что разрешение ПРЯМОГО трафика с -o br0"работает" (хотя я не очень внимательно проверял).