阻塞STP业务

Question

我使用Xen虚拟化和桥接模式netwrk。我注意到有很多生成树(如所理解的)来自网络的流量。例如：

STP 802.1d, Config, Flags [none], bridge-id ......
STP 802.1s, Rapid STP, CIST Flags [Proposal, Learn, Forward, Agreement]

我不希望VPS接收这些消息-它可以过滤吗？我想我需要这样做：

ebtables -A INPUT -d BGA  -j DROP

但这并没有帮助。我做错了什么？

Answer 1

STP (生成树)是一种防止网络循环的协议。在防火墙中阻止STP是没有用的。您可以更改您的网络，以便STP和VM在不同的VLAN上。我认为这是正确的解决办法。

Answer 2

在主机节点上，需要在前向链而不是输入链中匹配。

ebtables -A FORWARD -d BGA -o vif+ -j DROP

为了确保客人们不会把STP骗出去

ebtables -A FORWARD -d BGA -i vif+ -j DROP

另一种选择是移动到路由，而不是桥接网络配置。

Answer 3

我知道这是一个很老的问题，但我今天需要自己解决。经过多次尝试和错误之后，我发现这个命令可以工作：

sudo ebtables -A FORWARD -p LENGTH --802_3-type 10b -j DROP

为了确保您没有阻止任何您不想阻止的内容，请添加-o {接口名称}，例如：

sudo ebtables -A FORWARD -o l2tpeth0 -p LENGTH --802_3-type 10b -j DROP

我们正在使用思科设备，我不知道是否也适用于其他供应商。