因為預設的bridge firewall ploicy是bypass…屬於通透的firewall (layer 2)
所以在layer 3的iptables就管不到他了

這時候可以修正 /etc/sysctl.conf 內的設定，增加下面的資料

net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-arptables = 1


然後使用 sysctl -p /etc/sysctl.conf 執行

也可以透過 sysctl -a | grep bridge-nf 觀看目前相關設定