Vethは、2 つの NIC が同じホストに接続された初歩的な外部イーサネット ネットワークの比喩として請求されます。これにより、パケットがフィルタリングされ、ルーティングされ、 を介して送信されveth、反対側から再入力された後、外界からの新しいパケットとして扱われ、関連するすべての netfilter ルールを再度通過する必要があると思います。
これは、veth ペアがネット名前空間の境界を越えた場合 (つまり、パケットが現在の名前空間の netfilter を通過しなかった場合) にのみ発生します。ただし、私の使用例には名前空間ではなく VRF が含まれており、そのような構成では、パケットが veth ペアを通過した後に netfilter スタックに入るのがまったく見えません。
パケットが適切な VRF にルーティングされた後にnetfilter (NAT) ルールを適用する必要がありますが、それができないようです。
だから私の質問は:
- veth から出たパケットがフィルタリング スタックに入らないのはなぜですか?
- そうする方法はありますか?
- 上記のいずれも不可能な場合、どのような選択肢がありますか?
ありがとう。