<p dir="ltr">There is a bit more to it.  The floating ip was dissociated which means it should have been removed from the gateway device.  </p>
<p dir="ltr">How long did the connection stay up?  Was this a matter of the l3 agent getting a little behind and not processing the update for a while?  Can you confirm that the floating ip was removed from the router's gateway device?</p>

<p dir="ltr">This isn't to say that we shouldn't explicitly cut connections in the connection tracker regardless of the answer to these questions.</p>
<p dir="ltr">Carl</p>
<div class="gmail_quote">On Jun 26, 2014 11:01 AM, "Miguel Angel Ajo Pelayo" <<a href="mailto:mangelajo@redhat.com">mangelajo@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Yes, once a connection has past the nat tables,<br>
and it's on the kernel connection tracker, it<br>
will keep working even if you remove the nat rule.<br>
<br>
Doing that would require manipulating the kernel<br>
connection tracking to kill that connection,<br>
I'm not familiar with that part of the linux network<br>
stack, not sure if it's possible, but that would be<br>
the perfect way. (kill nat connection on ext ip=float ip int_ip = internal ip)...<br>
<br>
<br>
<br>
<br>
----- Original Message -----<br>
> Hi folks,<br>
><br>
> After we create an SSH connection to a VM via its floating ip, even though we<br>
> have removed the floating ip association, we can still access the VM via<br>
> that connection. Namely, SSH is not disconnected when the floating ip is not<br>
> valid. Any good solution about this security issue?<br>
><br>
> Thanks<br>
> Xurong Yang<br>
><br>
> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div>