阻止 STP 流量

阻止 STP 流量

我正在使用 Xen 虚拟化和桥接模式网络。我注意到有大量生成树(如所理解)流量来自网络。例如:

STP 802.1d, Config, Flags [none], bridge-id ......
STP 802.1s, Rapid STP, CIST Flags [Proposal, Learn, Forward, Agreement]

我不希望 VPS 接收这些消息 - 可以过滤吗?我想我需要做类似的事情:

ebtables -A INPUT -d BGA  -j DROP

但这没有帮助。我做错了什么?

答案1

STP(生成树)是一种防止网络环路的协议。在防火墙中阻止 STP 毫无用处。您可以更改网络,使 STP 和您的 VM 位于不同的 VLAN 上。我认为这是解决此问题的正确方法。

答案2

在主机节点上,需要在FORWARD链中匹配,而不是INPUT链中匹配。

ebtables -A FORWARD -d BGA -o vif+ -j DROP

确保客人没有欺骗 STP

ebtables -A FORWARD -d BGA -i vif+ -j DROP

另一种选择是转到路由网络配置而不是桥接网络配置。

答案3

我知道这是一个非常老的问题,但我今天需要自己解决。经过大量的尝试和错误,我发现这个命令有效:

sudo ebtables -A FORWARD -p LENGTH --802_3-type 10b -j DROP

为了确保你不会屏蔽任何你不想屏蔽的内容,请添加-o {接口名称}, 例如:

sudo ebtables -A FORWARD -o l2tpeth0 -p LENGTH --802_3-type 10b -j DROP

我们正在使用思科设备,我不知道其他供应商是否也一样。

答案4

也许这样的事情会有帮助......

cli# ebtables -I FIREWALL -i eth0 -d 01:00:0C:CC:CC:CC -j DROP 
cli# ebtables -I FIREWALL -i eth0 -d 01:00:0C:CC:CC:CD -j DROP 
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:00 -j DROP 
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:08 -j DROP 
cli# ebtables -I FIREWALL -i eth0 -d 01:80:C2:00:00:01 -j DROP 

相关内容