bridge rules : -j ACCEPT for physical interfaces
authorAlexandre Derumier <aderumier@odiso.com>
Tue, 25 Feb 2014 12:47:52 +0000 (13:47 +0100)
committerDietmar Maurer <dietmar@proxmox.com>
Wed, 26 Feb 2014 06:11:56 +0000 (07:11 +0100)
commitd37fa05ca87e264772c6236759e8477a83c01650
treeeefe57a8a8fb1f3c62931c7e94d0bc17615cf8df
parent7b291cabd7a69a441cae666b2c94ab49106cf592
bridge rules : -j ACCEPT for physical interfaces

We need to accept traffic at the end of bridge rules for outgoing packets from tap->ethX,
as we don't do ACCEPT in tap-out rules.

IN=vmbr0 OUT=vmbr0 PHYSIN=tap110i0 PHYSOUT=eth0

-A PVEFW-FORWARD -o vmbr0 -m physdev --physdev-is-bridged -j vmbr0-FW
-A PVEFW-FORWARD -i vmbr0 -m physdev --physdev-is-bridged -j vmbr0-FW

-A vmbr0-FW -m physdev --physdev-is-in --physdev-is-bridged -j vmbr0-OUT
-A vmbr0-FW -m physdev --physdev-is-out --physdev-is-bridged -j vmbr0-IN
-A vmbr0-FW -j ACCEPT

-A PVEFW-FORWARD -o vmbr0 -j DROP
-A PVEFW-FORWARD -i vmbr0 -j DROP

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>
PVE/Firewall.pm