Unsinnigen Layer-2 Traffic bereits auf Knoten wegfiltern (ebtables)

Im Netzwerk tauchen bei Mitschnitten (PCAPs) immer wieder unsinnige Pakete auf, die offensichtlich nicht für das Freifunk-Netz bestimmt sind (z.B. ARP-Requests durch Fehlkonfigurationen im Netzwerk-Setup, "Zombie"-Clients, etc.). Prinzipbedingt werden diese Daten in das gesamte Netzwerk verteilt und verursachen unnötigen Traffic.

Ansatz: Identifizierbarer unintenderter Layer-2 Traffic bereits auf den Knoten wegfiltern. @max schlägt vor

#!/bin/sh

ebtables -N FF_ONLY -P DROP

# DHCPv4 requests
ebtables -A FF_ONLY -p IPv4 --ip-protocol udp --ip-destination-port 67 -j RETURN
# Local FF IPv4 network
ebtables -A FF_ONLY -p IPv4 --ip-src 10.132.0.0/17 -j RETURN
# ARP requests for local FF network
ebtables -A FF_ONLY -p ARP --arp-ip-src 10.132.0.0/17 -j RETURN


# Link-Local traffic
ebtables -A FF_ONLY -p IPv6 --ip6-src fe80::/10 -j RETURN
# IPv6 Multicasts traffic
ebtables -A FF_ONLY -p IPv6 --ip6-dst ff00::/8 -j RETURN
# Local FF IPv6 network
ebtables -A FF_ONLY -p IPv6 --ip6-src fdca:ffee:ff12:132::/64 -j RETURN


# Filter all traffic coming into br-clients from any local interface
# (as in NOT coming from the B.A.T.M.A.N. mesh)
ebtables -A FORWARD --logical-in br-client -i ! bat0 -j FF_ONLY