iptables 拦截 bridge 包的问题排查

一、事件概述

1. 事件背景

在 Linux 网络环境中，两个 IP 地址之间的网络连接不通，经过逐个接口抓包排查，发现数据包在本地 bridge（网桥）上丢失。

2. 影响范围

A. 影响功能

跨网桥的网络通信中断

B. 影响时长

排查过程耗时数小时

C. 严重程度

网络通信完全阻断，影响业务运行

二、事件时间线

1. 故障发现

A. 现象描述

两个 IP 之间的网络无法通信

B. 排查过程

在 Linux 上逐个 interface 进行抓包分析

2. 问题定位

A. 发现异常

数据包在本地 bridge 上丢失

B. 初步疑惑

Bridge 是简单的二层设备，逻辑应该很简单，怎么会丢包？

3. 根因定位

A. 深入排查

发现 Bridge 的数据包被转发到 iptables 处理

B. 确认原因

数据包被 iptables 的 FORWARD chain DROP 规则丢弃

C. 快速验证技巧

使用 watch 命令实时监控 iptables 丢包规则：

watch -d "iptables -nvL | grep DROP"

-d 参数很关键，它会对比每次命令执行结果的变化并高亮显示，可以快速定位问题规则。

三、问题分析

1. 直接原因

bridge 的数据包被 iptables 的 FORWARD chain DROP 规则丢弃

2. 根本原因

A. 机制原理

在 Linux 中有一个特殊机制，允许二层（layer 2）的 bridge 代码调用 iptables、arptables、ip6tables 等三层工具。

这种设计使得 bridge 可以实现比 BROUTING chain 更多的功能：

• DNAT（目标地址转换）
• 有状态防火墙（stateful firewall）
• 连接跟踪（conntrack）

B. 核心矛盾

bridge 是二层设备，而 iptables 是三层（IP 层）工具。这种跨层调用（layer violation）虽然功能强大，但也带来了复杂性和性能问题。

3. 深层反思

默认情况下，Linux bridge 会将数据包传递给 iptables 处理（net.bridge.bridge-nf-call-iptables=1），这在很多场景下是不必要的行为，容易导致网络配置复杂化。

四、解决方案

1. 临时方案

A. 实施措施

关闭 bridge 调用 iptables 的功能：

sysctl -w net.bridge.bridge-nf-call-iptables=0

参数说明：

• 0：bridge 的数据包不会传递给 iptables
• 1：bridge 的数据包会传递给 iptables（默认值）

B. 效果评估

执行后网络通信恢复正常

2. 永久方案

A. 持久化配置

将配置写入 /etc/sysctl.conf：

net.bridge.bridge-nf-call-iptables=0

然后执行：

sysctl -p

B. 自动化方案（libvirt 推荐）

通过 udev 规则，在每次创建 bridge 时自动执行 sysctl 禁用该功能。这样可以解决 module 未加载时无法设置参数的问题。

3. 新架构方案

A. 使用 nf_conntrack_bridge module

这是一个独立的内核模块，可以直接在 bridge 层实现连接跟踪功能，而不需要调用 iptables。

B. 迁移到 nftables

nftables 是下一代的 iptables，配合 nf_conntrack_bridge 可以更好地处理 bridge 流量，避免 layer violation 问题。

五、技术细节

1. Bridge 与 iptables 交互流程

graph TD
    A[数据包到达 Bridge] --> B{bridge-nf-call-iptables?}
    B -->|默认=1| C[iptables 处理]
    B -->|设置为 0| D[直接转发]
    C --> E{FORWARD chain 规则}
    E -->|允许| F[继续转发]
    E -->|DROP| G[数据包丢失]
    D --> F

2. 内核模块演进

A. 早期实现

bridge call iptables 功能最初直接在内核中实现，存在性能问题

B. 独立模块化

后来独立为单独的内核模块（使用 physdev 时会自动启用）

C. 新架构

nf_conntrack_bridge module 提供更优雅的解决方案

3. 常见问题处理

A. 模块未加载问题

关闭功能时可能遇到错误：

error: "net.bridge.bridge-nf-call-iptables" is an unknown key

原因：相关内核模块尚未加载

解决：创建 bridge 后模块会自动加载，此时再执行 sysctl 命令

B. 自动化配置

使用 udev 规则确保每次创建 bridge 时自动禁用该功能：

# /etc/udev/rules.d/99-bridge.rules
ACTION=="add", SUBSYSTEM=="net", DRIVER=="?*", \
  RUN+="/sbin/sysctl -w net.bridge.bridge-nf-call-iptables=0"

六、经验总结

1. 排查技巧

A. 系统化抓包

逐个 interface 抓包是定位网络问题的有效方法

B. 监控工具

watch -d 命令可以实时监控变化，快速定位问题

C. 理解分层

网络问题排查时要清楚各层的职责和交互

2. 设计原则

A. 保持简洁

如果不需要 bridge 使用 iptables 功能，应该明确关闭

B. 性能优先

bridge 调用 iptables 会带来性能开销，应权衡利弊

C. 使用新工具

考虑使用 nftables + nf_conntrack_bridge 替代旧方案

3. 预防措施

A. 配置规范

在部署 bridge 网络时，应明确配置 bridge-nf-call 参数

B. 文档记录

记录网络架构和 iptables 规则，便于排查问题

C. 监控告警

建立网络连通性监控，及时发现异常

参考资料

1. iptables 拦截 bridge 包的问题排查
2. ebtables/iptables interaction on a Linux-based bridge
3. nf_conntrack_bridge kernel config
4. nftables wiki
5. libvirt: Net.bridge.bridge-nf-call and sysctl.conf