Hallo,
ich muss ein paar virtuelle Maschinen auf dem UCS laufen lassen, mit bridged Network.
Das funktioniert soweit auch ganz gut, bis auf dass der Traffic auf/durch br0 durch iptables geblockt wird.
Ich habe nun
a)
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1
in eine sysctl.d conf Datei geschrieben. Das funktioniert soweit ganz gut abgesehen davon dass nach einem reboot ein sysctl --system aufgerufen werden muss.
oder
b) /etc/security/packetfilter.d/50_local.sh mit
iptables -I FORWARD -i br0 -o br0 -j ACCEPT
versehen. Dies funktioniert auch nach einem Reboot.
Was ist hier best practice, auch um docker nicht in die Quere zu kommen…? Vermutlich eine ganz andere Lösung?! 
Für jeden TIp dankbar,
Christian