← retour aux snippets

ebtables: filtrer au niveau bridge (L2)

Créer des règles ebtables pour filtrer ARP/MAC sur un pont Linux.

bash network #ebtables#bridge#l2

objectif

Bloquer des trames indésirables avant la couche IP sur un bridge.

code minimal

# dropper tout ARP sauf d'un MAC autorisé
sudo ebtables -A FORWARD -p arp --arp-mac-src ! 02:11:22:33:44:55 -j DROP

utilisation

# bloquer un MAC
sudo ebtables -A FORWARD -s aa:bb:cc:dd:ee:ff -j DROP

variante(s) utile(s)

# log limité
sudo ebtables -A FORWARD -p arp -j LOG --log-prefix "EB: "

notes

  • utile dans des environnements bridge/VM.
  • combinez avec nftables pour L3/L4.