Fichier de packages iptables sur pont virtuel

J'aimerais filterr les packages passant par un pont virtuel sur une machine Fedora Linux. J'ai activé les options sysctl suivantes comme décrit dans plusieurs guides:

net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 

Si un package est relié d'un port à un autre, je m'attends à ce qu'il soit transmis à la string FORWARDING de la table de filter tables ip (6), mais ce n'est pas le cas.

Y at-il quelque chose qui doit être configuré en plus?

Manuel

Vous searchz les ebtables / brouting. Il fait partie du kernel 2.6 et peut vous permettre de prendre les décisions de la couche 2 en fonction de l'information de la couche 3.

http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

Je l'ai utilisé dans une entreprise précédente pour créer un pont ethernet transparent qui redirigeait (DNAT) les packages spécifiés vers une interface locale sur l'hôte.