仮想化するときのブリッジにはフィルタリングを無効化しよう | mishimaの日記 | スラドPC から L/B に向けた通信に対し、L/Bが内部で DNAT をして、REAL SERVER に振り分けていたとする。 行きのパケットは意図したとおりに DNAT される。しかし、帰りのパケットはうまく PC に戻らない。なぜか。それはブリッジが複数の仮想イーサネットから構成されているからだ。 vethXXX2 にパケットが入ってきた時点で DNAT の帰りのパケットの逆変換をして、パケットの送信元 IP アドレスを eth0 のアドレスに書き換えてしまう。 すると、vethXXX1 は「eth0 の IP アドレス」を送信元として持ったパケットを受け取ることとなる。 br0ではeth0のセグメントのパケットは受け取らないため、パケットはフォワーディングされることなく破棄されてしまう。 ブリッジの「中」で iptables が有効になっていることが原因といえる。 このことに気づかないと
