Vlan, bridge and rules

Rearden

Добрый день!
pfsense 2.2

Настраиваю super-VLAN.
Пример конфигурации:
Создаю два влана, vlan110, vlan111. Создаю интерфейсы для этих ВЛАНов без IP-адресов. Создаю bridge0, в который добавляю интерфейсы c именами vlan110, vlan111. Присваиваю IP-адрес интерфейсу bridge0 10.0.110.1/24.

Тестирую клиента на 110 ВЛАНе с адресом 10.0.110.3/24. Для интерфейса VLAN110 правила следующие:  Allow all from  10.0.110.0/24  to any.

Нат включен.

Интернет не работает, пока не пропишешь правила для интерфейса моста Allow all from any to any. Хотя net.link.bridge.pfil_bridge=0

Почему так происходит?

rubic

В конфигурации bridge + proxy arp логика net.link.bridge.pfil_bridge и net.link.bridge.pfil_member не работает, т. к.:

The packets destined to the bridging host will be seen by the filter on
    the interface with the MAC address equal to the packet's destination MAC.

http://www.freebsd.org/cgi/man.cgi?query=if_bridge&apropos=0&sektion=0&manpath=FreeBSD+8.1-RELEASE&format=html

Т. е. трафик в вашем случае всегда фильтруется на интерфейсе моста, а чтобы дополнительно фильтровать его на интерфейсах-членах нужно установить net.link.bridge.pfil_local_phys=1

https://redmine.pfsense.org/issues/729