<span class="gmail_quote">04.06.08, <b class="gmail_sendername">Timur Batyrshin</b> &lt;<a href="mailto:batyrshin@ieml.ru">batyrshin@ieml.ru</a>&gt; написал(а):</span><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
На хосте поднят мост (bridge).<br> При приходе сетевого пакета на физический интерфейс что сначала<br> происходит -- обработка его внутри моста или обработка его правилами<br> iptables (располагаются в /etc/net/ifaces/default/fw)?</blockquote>
<div><br>как&nbsp;я&nbsp;помню, iptables&nbsp;видит&nbsp;пакеты&nbsp;на логических интерфейсах. то есть после &nbsp;обработки на мосту.</div><br><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
 Если первое, то можно ли как-нибудь фильтровать пакеты _до_ поступления<br> их на мост? Например, чтобы отсечь левые бродкасты.</blockquote><div><br>для мостов существует ebtables.<br> iptables позволяет фильтровать  на основе физического интерфейса через -m physdev, -m mac</div>
<br>-- <br>С уважением<br>Афанасов Дмитрий