分享，在网桥中控制端口单向访问的方法，请大家指正

khtwlhnh

比如E1跟E2两个口加同一个网桥
设置E1可以访问E2，反过来不能访问

在2.9.27中只要在ip firewall中直接设置从E2口进入的数据drop，然后开放established和related就可以了

不过在3.3中直接这样设置不行，原理我搞不清楚，我是这么猜的
在3.3中,开户 use IP firewall后，IP firewall认到的数据是从桥过来的，不认接口，所以限制接口无效
而如果你在bridge filter里面将E2接口DROP的话，数据就到不了ip firewall，设置established和related也就没意义
这样E1,E2就隔离了

之前bobwalker兄跟我说可以使用bridge filter和mangle packet mark配合，我看不懂
后来看了教程才知道mangle是什么东西

我的解决方法其实很简单，就是在bridge filter中，将E2口进入的数据打上标志，比如A2
然后在ip firewall中将A2标志的数据DROP，同时开放established和related

我在实验环境中试了可行，还没实际应用，不知道这样想法是不是正确的，请大家指正