История изменений
Исправление vel, (текущая версия) :
Выкинуть из br0 «bridge_ports enp3s0», задать статиком адрес/маску для br0 по аналогии с enp4s0 , а enp3s0 сконфигурировать через dhcp.
виртуалки подключать к br0
-A FORWARD -s 192.168.135.0/24 -i enp3s0 -o enp4s0 -m conntrack --ctstate NEW -j ACCEPT
не работает, т.к. пакеты приходят через br0, а работает оно из-за ACCEPT в policy для FORWARDING.
Чтобы изолировать гостевую систему от локалки (enp3s0) в FORWARD нужно будет вставить запрещающие правила (1-2 шт.)
"-A POSTROUTING -j MASQUERADE" в nat - зло! Если интернет приходит через enp3s0, то добавь "-o enp3s0"
PS Есть средство для фильтрации в брижде - ebtables, но оно требует не только знаний по основам ip-сетей и понимания картинки https://en.wikipedia.org/wiki/Netfilter#/media/File:Netfilter-packet-flow.svg
Исходная версия vel, :
Выкинуть из br0 «bridge_ports enp3s0», задать статиком адрес/маску для br0 по аналогии с enp4s0 , а enp3s0 сконфигурировать через dhcp.
-A FORWARD -s 192.168.135.0/24 -i enp3s0 -o enp4s0 -m conntrack --ctstate NEW -j ACCEPT
не работает, т.к. пакеты приходят через br0, а работает оно из-за ACCEPT в policy для FORWARDING.
Чтобы изолировать гостевую систему от локалки (enp3s0) в FORWARD нужно будет вставить запрещающие правила (1-2 шт.)
"-A POSTROUTING -j MASQUERADE" в nat - зло! Если интернет приходит через enp3s0, то добавь "-o enp3s0"
PS Есть средство для фильтрации в брижде - ebtables, но оно требует не только знаний по основам ip-сетей и понимания картинки https://en.wikipedia.org/wiki/Netfilter#/media/File:Netfilter-packet-flow.svg