Linux-мост пропускает трафик выключенной виртуальной машины

У меня есть настройка моста Linux (br0) с netplan следующим образом:

        version: 2
  renderer: networkd
  ethernets:
    eno1:
      dhcp4: no
      dhcp6: no
  bridges:
    probr:
      interfaces:
        - eno1
      macaddress: ab:cd:ef:01:02:03
      addresses:
        - 51.x.y.z/24
      nameservers:
        addresses:
          - 8.8.8.8
          - 1.1.1.1
      parameters:
        stp: false
        forward-delay: 0
      dhcp4: no
      dhcp6: no
      routes:
        - to: 0.0.0.0/0
          via: 55.x.y.254
        - to: 55.x.y.z/28
          scope: link

Я использую libvirt virt-install с аргументом network:virt-install ... --network type=bridge,source=br0,model=virtio,filterref=clean-traffic,mac=00:11:22:33:44:55

Сеть работает как положено, но я заметил, что если у меня есть несколько виртуальных машин, трафик, предназначенный для отключенной виртуальной машины, будет транслироваться на все работающие виртуальные машины. Это приведет к утечке информации о соединениях. Есть ли способ настроить мост так, чтобы этого не делать? Возможно, с ebtables? Я заметил, что следующее правило ebtables будет работать, но я ищу что-то более общее, поскольку заранее не знаю имя интерфейса (vnet1):Выполнение фильтра не для Mac не сработает, поскольку IP и MAC предназначены для отключенной виртуальной машины, но мост по каким-то причинам все равно решает транслировать его.