Назад | Перейти на главную страницу

Блокировка трафика STP

Я использую виртуализацию Xen с сетью в режиме моста. Я заметил, что из сети идет много трафика связующего дерева (как я понимаю). Такие как:

STP 802.1d, Config, Flags [none], bridge-id ......
STP 802.1s, Rapid STP, CIST Flags [Proposal, Learn, Forward, Agreement]

Я не хочу, чтобы VPS получал эти сообщения - можно ли их отфильтровать? Думаю, мне нужно сделать что-то вроде:

ebtables -A INPUT -d BGA  -j DROP

Но это не помогло. Что я делаю не так?

STP (Spanning tree) - это протокол для предотвращения сетевых петель. Блокировать протокол STP в брандмауэре бесполезно. Вы можете изменить свою сеть, чтобы STP и ваша виртуальная машина находились в другой VLAN. Я думаю, это было бы правильным решением для этого.

Я знаю, что это очень старый вопрос, но мне нужно было разобраться с ним сегодня. После множества проб и ошибок я обнаружил, что эта команда работает:

sudo ebtables -A FORWARD -p LENGTH --802_3-type 10b -j DROP

Чтобы убедиться, что вы не блокируете то, что не хотите, добавьте -o {название интерфейса}, Такие как:

sudo ebtables -A FORWARD -o l2tpeth0 -p LENGTH --802_3-type 10b -j DROP

Мы используем оборудование Cisco, я не знаю, применимо ли то же самое к другим поставщикам.

На хост-узле вам нужно сопоставить цепочку FORWARD вместо цепочки INPUT.

ebtables -A FORWARD -d BGA -o vif+ -j DROP

и просто чтобы убедиться, что гости не подделывают STP

ebtables -A FORWARD -d BGA -i vif+ -j DROP

Другой вариант - перейти к конфигурации с маршрутизированной, а не с мостовой конфигурацией.