<div>Hi </div><div><br></div><div>this is my bridge structure </div><div><font class="Apple-style-span" color="#009900">=========================================</font></div><div><font class="Apple-style-span" color="#009900">brctl show</font></div>
<div><font class="Apple-style-span" color="#009900">bridge name    bridge id        STP enabled    interfaces</font></div><div><font class="Apple-style-span" color="#009900"><b>br0</b>        8000.0023aea32e26    no                    <b>eth0</b></font></div>
<div><font class="Apple-style-span" color="#009900">                                                                     <b>tapxp</b></font></div><div><font class="Apple-style-span" color="#009900">=========================================</font></div>
<meta http-equiv="content-type" content="text/html; charset=utf-8"><div><br></div><div>I tunneled a tapxp for my xp virtual machine.</div><div>host is centos 6 using eth0<br class="Apple-interchange-newline"><br></div><div>
eth0 & tapxp are under bridge <b>br0 </b>and they work well.</div><div><br></div><div>I wish to open 22 for host 80 for xp to outside.</div><div>others to the outside are blocked.</div><div><br></div><div>but I also wanna constrict nothing between <b>host</b> and <b>xp</b></div>
<div><div><br></div><div>now for host it's OK to open 22 and others are blocked. </div><div>and I just want to open the connection between host and xp now.</div><div><br></div><div>I tried the following command ....</div>
<div><font class="Apple-style-span" color="#009900">==========================================================================</font></div><div><font class="Apple-style-span" color="#009900">iptables -A OUTPUT -s argent -m physdev --physdev-in tapxp -j ACCEPT</font></div>
<div><font class="Apple-style-span" color="#009900">iptables -A OUTPUT -s argent -m policy --dir out --mode tunnel --tunnel-dst <a href="http://172.18.16.0/21">172.18.16.0/21</a> -j ACCEPT</font></div><div><font class="Apple-style-span" color="#009900">iptables -A OUTPUT -j LOG --log-tcp-sequence --log-level debug --log-prefix 'OUTPUT:'</font></div>
</div><div><font class="Apple-style-span" color="#009900">==========================================================================</font></div><div><br></div><div><br></div><div>but failed by logging this</div><div><span class="Apple-style-span" style="color: rgb(0, 153, 0); ">================================================================</span></div>
<div><div><font class="Apple-style-span" color="#009900">6381 Aug  8 15:45:04 argent kernel: OUTPUT:IN= OUT=br0 </font><span class="Apple-style-span" style="color: rgb(0, 153, 0); ">SRC=172.18.22.188 DST=172.18.22.180 LEN=60 TOS=0x00 PREC=0x00 </span><span class="Apple-style-span" style="color: rgb(0, 153, 0); ">TTL=64 ID=54323 DF PROTO=TCP SPT=52595 DPT=3389 SEQ=1304299590 </span><span class="Apple-style-span" style="color: rgb(0, 153, 0); ">ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 </span></div>
<div><font class="Apple-style-span" color="#009900">================================================================</font></div></div><div><br></div><div>from this log, I think it should in the <font class="Apple-style-span" color="#ff0000"><b>OUTPUT</b></font> chain, not <font class="Apple-style-span" color="#cc0000"><b>FORWARD</b></font></div>
<div>but why could I open it? </div><div>1) is there a much more verbose log could be used, or could be opened.</div><div>2) how to solve this?</div><div><br></div><div>thanks </div>