[桥网络地址翻译 Bridge nat] 操作路径: /interface bridge nat 本部

大眼晴

桥网络地址翻译 Bridge nat

操作路径: /interface bridge nat 本部分描述了在一般防火墙描述中省略了的桥 nat 选项。

属性描述

action (accept | arp-reply | drop | dst-nat | jump | log | mark | passthrough | redirect | return |

src-nat; 默认: accept) - 如果数据包匹配了其中一个规则就采取动作：

accept - 接受包，无动作。例如：数据包通过而没有任何动作，并且没有其他规则会在相关列表/链中处理。 arp-reply - 发送一个带有指定 MAC 地址的 ARP 应答(任何其他包都会被这条规则忽略，仅在 dstnat 链内 有效)

drop – 悄然丢弃数据包 (不发送 ICMP 拒绝信息)

dst-nat - 改变一个包的目的 MAC 地址 (仅在 dstnat 链有效)

jump - 跳转到由 jump-target 变量指定的链

log - 记录数据包

mark – 标记数据包以便后面使用

passthrough - 忽视这条规则并到下一个。除了对包计数外像一个被禁用的规则一样动作

redirect - 把数据包重新定位到桥本身（仅在 dstnat 链中有效）

return - 从跳转发生的地方回到之前的链

src-nat - 改变包的源 MAC 地址 (仅在 srcnat 链中有效)

out-bridge (名称) - 流出桥接口

to-arp-reply-mac-address (MAC 地址) - 当选中 action=arp-reply 时，把源 MAC 地址加入以太网 帧及 ARP 有效负载

to-dst-mac-address (MAC 地址) - 当选中 action=dst-nat 时，把目的 MAC 地址加入以太网帧

to-src-mac-address (MAC 地址) - 当选中 action= src-nat 时，把源 MAC 地址加入以太网帧

桥路路由



操作路径: /interface bridge broute

这部分描述在一般防火墙描述省略了的桥路设施具体选项，桥路表应用于进入一个转发受控接口的每个包（例如：它不会工 作在普通的接口，因为它们没有包含在桥里）。

属性描述

action (accept | drop | dst-nat | jump | log | mark | passthrough | redirect | return; 默认: accept)

- action to undertake if the packet matches the rule, one of the:

如果数据包匹配了其中一个规则就采取动作：

accept - 由桥接代码决定对数据包做哪种处理

drop - 从桥接代码中提取数据包，使它看起来像来自一个非桥接的接口（不会在有其他桥判定或过滤被应用 于这个包除非数据包被路由出到一个桥接的接口，这种情况下包将和其他路由包一样被正常处理）

dst-nat - 改变一个包的目的 MAC 地址（仅在 dstnat 链中有效）

jump - 跳转到由 jump-target 变量指定的链

log - 记录数据包

mark – 标记数据包以便后面使用

passthrough - 忽视这条规则并到下一个。除了对包计数外像一个被禁用的规则一样动作

redirect - 把数据包重新定位到桥本身（仅在 dstnat 链中有效）

return - 从跳转发生的地方回到之前的链

to-dst-mac-address (MAC 地址) - 当选中 action=dst-nat 时，把目的 MAC 地址加入以太网帧

故障分析

-- 路由器显示我的规则不合法

o in-interface, in-bridge (或 in-bridge-port) 被指定，但并不存在这样的接口

o 有一条 action=mark-packet 的动作，但没有 new-packet-mark

o 有一条 action=mark-connection 的动作，但没有 new-connection-mark

o 有一条 action=mark-routing 的动作，但没有 new-routing-mark