Iptables源代码mac匹配不总是匹配吗？

Question

我在NAT加了一些规则给我的预发链。通常在一台新机器加入网络时，这些匹配并不总是正确的？

I使用iptables v1.4.21在OpenWRT阻隔器上这是在linux桥上，iptables正在通过iptables发送数据包

net.bridge.bridge-nf-call-iptables=1

以最简单的形式

    -A PREROUTING -m mac --mac-source <my mac> -j ACCEPT
    -A PREROUTING -m limit --limit 1/min -j LOG --log-prefix "id=Unknown-Device " --log-level 5

但我收到的日志信息显示它不匹配。mac地址绝对正确。

id=Unknown-Device IN=br-lan OUT= PHYSIN=wlan0 MAC=<dst>:<src>:08:00 SRC=192.168.0.105 DST=15.72.255.5 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=TCP SPT=23058 DPT=80 WINDOW=8688 RES=0x00 SYN URGP=0

Answer 1

如果我正确地理解了您，您的设置是工作的，有时，当一台新机器正在连接时，会出现一些日志。你想弄明白为什么。这是真的吗？

我对你的问题有几个想法，虽然我还不能给出答案。

首先，我想确定有一些“良好的”关系。要确认这一点，可以禁用日志规则中的每分钟限制1数据包，并在接受规则之前添加另一个日志规则：

-A PREROUTING -m mac --mac-source <my mac> -j LOG --log-prefix "id=Well-known-Device " --log-level 5
-A PREROUTING -m mac --mac-source <my mac> -j ACCEPT
-A PREROUTING -j LOG --log-prefix "id=Unknown-Device " --log-level 5

为了驳斥某些假设，你能否证实：

1. 您没有在nat表中使用DNAT (看起来您没有)
2. 数据包正通过前向链(看起来是)
3. 它发生在以太网上(看起来确实如此)