centos7 - bridge-nf-call-iptables 설정

centos7 - bridge-nf-call-iptables 설정

bridge 로 구성한 네트워크 (가상 브리지 포함)

iptables 에서 패킷 카운터가 되지 않음

centos7 기반에서는 아래 모듈을 올려준다.

modprobe br_netfilter

* 카운팅 뿐 아니라 실제로 DROP 이나 REJECT 정책에 대해서는 차단이 되므로 서비스 확인이 필요함

다시 비활성화 하려면 아래와 같이 한다

rmmod br_netfilter

centos6에서는 아래 파라미터를 1로 활성화 하면 되었다. 

/usr/lib/sysctl.d/00-system.conf

# Disable netfilter on bridges. net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0