Adicionando endereço IP a uma interface de ponte

Anexar um endereço IP a um dispositivo de ponte só é necessário se você quiser orignar ou receber tráfego IP nessa interface. Se você está apenas usando seus dois NICs como um repetidor (do tipo), então você não deve precisar de um endereço IP.

Bem, sim; você pode conversar com ele, usando IP. Me desculpe se isso soa uma resposta invertida; não é para ser.

Em primeiro lugar, lembre-se de que os membros individuais de uma bridge não devem ter endereços atribuídos a eles, então você não pode falar com a ponte dessa maneira.

Em seguida, considere o meu problema, quando eu tinha um firewall de três pernas. Dentro, em uma interface simples, era 192.168.0.0/16; isso precisaria ser NATted quando o tráfego fosse para fora. Nas outras duas interfaces, eu tinha 213.219.1.0/25, mas eu tinha a necessidade de algumas máquinas naquele espaço de endereçamento serem expostas à internet, e outras para ficarem atrás de um firewall - mas as máquinas já estavam lá endereçado de tal forma que eu não poderia dividi-lo em 213.219.1.0/26 e 213.219.1.64/26 . Eu tinha membros de 213.219.1.0/25, alto e baixo, nas interfaces externa e DMZ.

Minha única opção foi fazer uma ponte entre as interfaces externa e DMZ e usar as regras --physdev-in e --physdev-out para tomar decisões de firewall sobre como vincular os pacotes nessas interfaces.

Mas para o tráfego dentro e fora da interface interna, esse era o roteamento completo da camada 3. A interface "externa" do firewall precisava ter um endereço para os pacotes NAT das interfaces internas para as externas, e também precisava de um endereço para administração remota da Internet, terminações de VPN e assim por diante.

Então essa foi uma das circunstâncias em que, até onde eu poderia determinar, uma interface de bridge definitivamente precisava de um endereço IP próprio. Isso faz sentido?