Что-то не получается закрыть forward между vlan0-мостом и tap0.
bridge name bridge id STP enabled interfaces
vlan0 8000.d2d13f27cd5f no tap001
Схема
HOST
+---------------+
| 192.168.100.1 |
+---- tap0 |
| ^ |
| | |
| +-------+ | KVM GUEST
| | | | +---------------+
| | tap001|-+ | | |
| +-------+ | | | |
| vlan0 +--+------------+---- nic0 |
|192.168.169.1 | |192.168.169.120|
+---------------+ +---------------+
tcpdump на vlan0 при пинге tap0 из гостя
16:01:01.812780 00:01:12:c4:a0:e2 (oui Unknown) > d2:d1:3f:27:cd:5f (oui Unknown), ethertype IPv4 (0x0800), length 98: 192.168.169.120 > 192.168.100.1: ICMP echo request, id 47106, seq 10752, length 64
16:01:01.812812 d2:d1:3f:27:cd:5f (oui Unknown) > 00:01:12:c4:a0:e2 (oui Unknown), ethertype IPv4 (0x0800), length 98: 192.168.100.1 > 192.168.169.120: ICMP echo reply, id 47106, seq 10752, length 64
При этом же пинге tcpdump -i tap0 ничего не показывает.
Даже такое правило не помогает
ebtables -A FORWARD -s d2:d1:3f:27:cd:5f -d 52:54:00:12:34:56 -j DROP
vlan0 mac d2:d1:3f:27:cd:5f
nic0 mac 52:54:00:12:34:56
Куда копать?
