<div dir="ltr"><div style>Hello Ian,</div><div><br></div>Found some anti-spoofing rules in the ebtables (ebtables -t nat -L) of the compute-host where my router VM is located. These rules are automatically generated by libvirt for each VM and are usually generated from a preset of rules (anti-ip-spoofing.xml). Disabling this rule didn't help as I found later that there are some iptables chains also on the compute host that did some anti-spoofing filtering (iptables -t filter -L).<div>
So one need to disable the libvirt anti-ip-spoofing and the iptables anti-spoofing.</div><div>I disabled the libvirt anti-ip-spoofing by removing the filter from nova-base (virsh nwfilter-edit nova-base) and manually added a rule to iptables.</div>
<div><br></div><div>Thanks a lot.</div><div>Abbass.<br><div class="gmail_extra"><br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Randy has it spot on.  The antispoofing rules prevent you from doing this<br>
in Neutron.  Clearly a router transmits traffic that isn't from it, and<br>
receives traffic that isn't addressed to it - and the port filtering<br>
discards them.<br>
<br>
You can disable them for the entire cloud by judiciously tweaking the Nova<br>
config settings, or if you're using the Nicira plugin you'll find it has<br>
extensions for modifying firewall behaviour (they could do with porting<br>
around, or even becoming core, but at the moment they're Nicira-specific).<br>
--<br>
Ian.<br>
</blockquote></div><br></div></div></div>