RHEL6 / CentOS6 / Scientific 6 Bridging Firewall
by carsten on Jan.17, 2012, under RHEL
Ich wurde gerade auf eine interessante Änderung in Redhat Enterprise 6 und seinen Ablegern aufmerksam gemacht. Wer mit den genannten Distributionen eine transparente Firewall mittels Linux Bridge & iptables bauen möchte fragt sich unter Umständen warum sein Regelwerk in der FORWARD Chain nicht greift.
Ich musste auch etwas suchen und habe dann nach ca. 10 Minuten mal in die /etc/sysctl.conf geschaut und folgendes entdeckt:
# Disable netfilter on bridges.
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
Hier wird für alle Netzwerkdevices die über das “bridge” Modul aktiviert werden, die iptables,ip6tables und arptables aufrufe im Kernel verhindert und der gesamte Datenverkehr kann ungefiltert passieren.
Um die bekannte Funktionsweise herzustellen reicht es die Werte einfach auf 1 zu setzen und zu aktivieren:
echo 1 >/proc/sys/net/bridge/bridge-nf-call-iptables
echo 1 >/proc/sys/net/bridge/bridge-nf-call-arptables
echo 1 >/proc/sys/net/bridge/bridge-nf-call-ip6tables
Das nenn ich dann mal “Allow from all” im ganz großen Stil 🙂