請問iptables對網橋能起過濾作用嗎？

w_anthony

查了下資料，網橋的數據轉發(fā)在數據鏈路層，但iptables似乎在網絡層過濾，這樣的話是否是iptables無法過濾通過網橋的數據？這位兄臺也提過這個問題http://72891.cn/thread-1925516-1-1.html，似乎是iptables可以過濾網橋數據。
網上也有人說可以用網橋和iptables做防火墻，比如這個http://blog.csdn.net/dlutxie/article/details/8457363和http://blog.chinaunix.net/uid-26893610-id-3202286.html，后者還提到說“下載最新的內核，2.4可能需要下載在網橋模式下的時候讓內核能正常支持netfilter的補丁bridge-nf，這個很重要，不打這個patch ， iptables 將無法對通過你網橋包做過濾，2.6就已經自帶了”。
但是我的測試系統(tǒng)是CentOS6.7，uname -a顯示“Linux xxxxxx 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux”，內核應該已經是2.6以上了。
問題是iptables無論如何都不起作用，即使把FORWARD默認策略改為DROP，網橋內機器還是都可以上網。請問現在是我還少裝了哪個東西才導致無法過濾嗎？（我大致記得以前系統(tǒng)是CentOS5.5的時候iptables是有作用的）

w_anthony

我終于找到答案了，http://serverfault.com/questions ... e-and-forward-chain，這個老外是奇怪為什么iptables可以過濾網橋數據包，然后下面有個朋友說，可以關掉這個功能，這樣數據包就不會經過iptables，“echo '0' > /proc/sys/net/bridge/bridge-nf-call-iptables”。我看了下，我這個機器這項是0，我改成1，結果iptables就起作用了。我找了那么多資料，可惜就是沒有人告訴我還有這么一個配置項。