Hi Aaron, Akihiro, Gary<div><br></div><div>I would like to ask your opinion about the security group specs.</div><div><br></div><div>[Discussion 1]  security group rule applied for port for network:* ports?</div><div><br></div>
<div>- Dhcp port (looks not needed)</div><div>- Router port ( I could see many usecases, but this may be implemented as a service extension such as VPM)</div><div><br></div><div>IMO, if we take this limitation, these limitation should be done in securitygroups_db class.</div>
<div><br></div><div>[Discussion 2] Security groups for external networks</div><div>I could see use cases here. ( limit outbound or inbound connections)</div><div>However may be different default setting needed.</div><div>
Allow all traffic here ?</div><div><br></div><div>[Discussion 3] Default filtering rule</div><div>IMO, we should update definition of wiki considering some</div><div>provider specified rules.</div><div> </div><div><p style="margin-top:0px;margin-bottom:0px;padding-top:0.5em;padding-bottom:0.5em;color:rgb(0,0,0);font-family:'Arial Unicode MS',Arial,sans-serif">
<span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">Egress</span><br><span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -p udp --sport 68 --dport 67 -d 255.255.255.0 -j RETRUN</span><br>
<span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -p udp --sport 68 --dport 67 -d $DHCP_IP  -j RETRUN</span><br><span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -m mac --mac-source !$PORT_MAC -j DROP (arp spoofing)</span><br>
<span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -s !$PORT_FIXED_IPS -j DROP  (ip spoofing)</span><br><span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -p udp --sport 67 --dport 68 -J DROP  (disallow dhcp)</span><br>
</p><ul class="" style="color:rgb(0,0,0);font-family:'Arial Unicode MS',Arial,sans-serif"><li>if no there are no egress rule, all egress traffic allowed except above rules</li></ul><p style="margin-top:0px;margin-bottom:0px;padding-top:0.5em;padding-bottom:0.5em;color:rgb(0,0,0);font-family:'Arial Unicode MS',Arial,sans-serif">
<span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">Ingress</span><br><span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace">   -p udp --sport 68 --dport 67 -s $DHCP_IP  -j RETURN</span></p>
<p style="margin-top:0px;margin-bottom:0px;padding-top:0.5em;padding-bottom:0.5em;color:rgb(0,0,0);font-family:'Arial Unicode MS',Arial,sans-serif"><span class="" style="white-space:pre;font-family:'Lucida Console','Lucida Sans Typewriter',Monaco,monospace"><br>
</span></p></div><div>Thanks</div><div>Nachi</div><div><br></div><div><br></div><div><br></div>