Por que meu firewall (iptables) interfere na minha bridge (brctl)?

Eu configurei uma ponte br0 "anexada" para duas interfaces:

• eth0 , minha interface física conectada à LAN real,
• vnet0 , uma interface virtual KVM (conectada a uma VM do Windows).

E eu tenho essa regra de firewall única na cadeia de encaminhamento:

iptables -A FORWARD -j REJECT

Agora, o único ping que está funcionando é da VM para o host.

A interface br0 possui o endereço IP da minha máquina host. eth0 e vnet0 não "possuem" nenhum IP, do ponto de vista do host. A VM do Windows possui uma configuração de IP estático.

Se alterar minha regra iptables para ACCEPT (ou até mesmo usar um iptables -A FORWARD -o br0 -j ACCEPT mais restritivo), tudo está funcionando bem! (ou seja, eu posso fazer ping em qualquer máquina LAN da VM, e o contrário também).

Todas as opções do kernel de encaminhamento de IP estão desabilitadas (como net.ipv4.ip_forward = 0 ).

Então, como o firewall do netfilter pode bloquear algo que não está habilitado?

Além disso, o tráfego de VM-LAN deve implicar apenas eth0 e vnet0 . Ainda assim, parece permitir tráfego FORWARD com -o br0 "works" (eu não verifiquei com muito cuidado).