<div dir="ltr">Hi,<div><br></div><div><div style>I came across the solution of adding cfg param quota_fixed_ips to resolve the "DOS by allocating all fixed ips" CVE, <a href="https://bugs.launchpad.net/nova/+bug/1125468">https://bugs.launchpad.net/nova/+bug/1125468</a></div>
<div style><br></div><div style>It seems like this adds one more thing that every cloud deployer has to be set, and complicated the default and per project quota system.</div><div style><br></div><div style>Any value for quota_fixed_ips will feel arbitrary, and 10 feels almost extreme.</div>
<div style><br></div><div style><div>Michael Still (mikalstill) asked at 2013-02-22 "Do people think this quota should be per project or per instance? If its per instance isn't it still pretty easy to DoS people? You just have to start a bunch of instances as well."</div>
<div><br></div><div style>I'm trying to understand why per instances fixed ip limit was rejected as a better approach. (1) this is a feature specific solution -- only impacts if multinic or similar extensions are in play. (2) The math is easy. Default set it to 4 (or 2 or 1) multiple by number of instances multiple by projects is the total number of fixed IPs that can be exhausted, and only instances x fixed ip limit for any particular bad actor.</div>
<div style><br></div><div style>Per instances fixed ip seems like the better general solution possibly with the current implementation being a good override for public clouds.<br></div></div><div style><br></div><div style>
Thank you,</div><div style>Lloyd</div>--<br>@lloyddewolf<br><a href="http://www.pistoncloud.com/" target="_blank">http://www.pistoncloud.com/</a>
</div></div>