Использование IPTABLES для изоляции интерфейсов
Вы можете сделать
make menuconfig
и снять галочку с опции логотипа в конфигурации ядра. Вы больше никогда не увидите логотип пингвина после успешной компиляции ядра. Я не могу вспомнить, в какой части конфигурации ядра. Вы можете проверить это в конфигурации ядра.
Вы не препятствуете передаче сообщений с wlan1 на lan .
Я немного запутался в сетевых адаптерах .
попробуйте следующее:
-A DEFAULT_FORWARD -i wlan1 -o wan -j ACCEPT
-A DEFAULT_FORWARD -i bridge_default -o wlan1 -j DROP
############# ADDED #################################
-A DEFAULT_FORWARD -i wlan1 -o bridge_default -j DROP
#####################################################
-A DEFAULT_INPUT -i wlan1 -o wan -j ACCEPT
-A DEFAULT_INPUT -i bridge_default -o wlan1 -j DROP
-A DEFAULT_OUTPUT -i wlan1 -o wan -j ACCEPT
-A DEFAULT_OUTPUT -i bridge_default -o wlan1 -j DROP
Ни один пакет не будет передан на bridge_default , если он не соответствует первому правилу, которое вы добавили -i wlan1 -o wan -j ACCEPT
Описанная здесь проблема связана с тем, что iptables применяются только после того, как стек Linux может быть решен несколькими способами:
- Используйте ebtables вместо iptables -
Поскольку ebtables применяет правила на уровне ETH, мы можем применять правила к фактическому интерфейсу, а не так, как описано здесь, когда пакет поступает на мост Linux, он редактируется и изменяется, поэтому значение IN будет мостом
- Используйте bridge_1 вместо Interface -
Если те же правила таблицы up будут применены к мосту вместо интерфейса - проблем не возникнет, и правила будут работать нормально