我正在使用 Xen 虚拟化和桥接模式网络。我注意到有大量生成树(如所理解)流量来自网络。例如:
STP 802.1d, Config, Flags [none], bridge-id ......
STP 802.1s, Rapid STP, CIST Flags [Proposal, Learn, Forward, Agreement]
我不希望 VPS 接收这些消息 - 可以过滤吗?我想我需要做类似的事情:
ebtables -A INPUT -d BGA -j DROP
但这没有帮助。我做错了什么?
答案1
STP(生成树)是一种防止网络环路的协议。在防火墙中阻止 STP 毫无用处。您可以更改网络,使 STP 和您的 VM 位于不同的 VLAN 上。我认为这是解决此问题的正确方法。
答案2
在主机节点上,需要在FORWARD链中匹配,而不是INPUT链中匹配。
ebtables -A FORWARD -d BGA -o vif+ -j DROP
确保客人没有欺骗 STP
ebtables -A FORWARD -d BGA -i vif+ -j DROP
另一种选择是转到路由网络配置而不是桥接网络配置。
答案3
我知道这是一个非常老的问题,但我今天需要自己解决。经过大量的尝试和错误,我发现这个命令有效:
sudo ebtables -A FORWARD -p LENGTH --802_3-type 10b -j DROP
为了确保你不会屏蔽任何你不想屏蔽的内容,请添加-o {接口名称}, 例如:
sudo ebtables -A FORWARD -o l2tpeth0 -p LENGTH --802_3-type 10b -j DROP
我们正在使用思科设备,我不知道其他供应商是否也一样。
答案4
也许这样的事情会有帮助......
cli# ebtables -I FIREWALL -i eth0 -d 01:00:0C:CC:CC:CC -j DROP
cli# ebtables -I FIREWALL -i eth0 -d 01:00:0C:CC:CC:CD -j DROP
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:00 -j DROP
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:08 -j DROP
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:01 -j DROP