<div dir="ltr"><div style>Not arguing if it's suitable to implement this with security-group commands.</div><div style><br></div><div style>To solve the problem, I guess no 20 rules are necessary at all.</div><div style><br></div><div style>You can just add one <span id="b55b7274-22e9-41a2-872f-041cb63fecfe" class="GINGER_SOFTWARE_mark">rules</span> like the following to allow all traffic going out of the <span id="a0dce324-797c-4ef3-94c4-77a35bb64543" class="GINGER_SOFTWARE_mark">vm</span>.</div><div style><br></div><div style><span id="829c32f2-0ed0-49c5-a839-cec51cbad329" class="" style="color:rgb(51,51,51);font-family:Arial;font-size:14px;line-height:26px"><span id="b6bb6959-9b03-4eb7-86c3-f51870d7fc64" class="GINGER_SOFTWARE_mark">iptables</span></span><span style="color:rgb(51,51,51);font-family:Arial;font-size:14px;line-height:26px"> -I neutron-</span><span id="d2547cf4-2b2c-402b-a656-b77900c63714" class="" style="color:rgb(51,51,51);font-family:Arial;font-size:14px;line-height:26px"><span id="e4607712-1dfe-4a52-9f24-2198ac4d512e" class="GINGER_SOFTWARE_mark">openvswi</span></span><span style="color:rgb(51,51,51);font-family:Arial;font-size:14px;line-height:26px">-o9LETTERID -j RETURN</span></div><div style><span style="color:rgb(51,51,51);font-family:Arial;font-size:14px;line-height:26px">Where the id part is the first 9 letters of the <span id="4d3f36b4-f1e0-40f0-a7ae-3bb955accfd7" class="GINGER_SOFTWARE_mark">vm</span> attached port id.</span></div><div style><font color="#333333" face="Arial"><span style="line-height:25.99431800842285px">This rule will bypass all security filtering for the outgoing traffic.</span></font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 5, 2014 at 11:27 PM, Monty Taylor <span dir="ltr"><<a href="mailto:mordred@inaugust.com" target="_blank">mordred@inaugust.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<br>
I've decided that as I have problems with OpenStack while using it in the service of Infra, I'm going to just start spamming the list.<br>
<br>
Please make something like this:<br>
<br>
neutron security-group-create default --allow-every-damn-thing<br>
<br>
Right now, to make security groups get the hell out of our way because they do not provide us any value because we manage our own iptables, it takes adding something like 20 rules.<br>
<br>
15:24:05          clarkb | one each for ingress and egress udp tcp over ipv4 then ipv6 and finaly icmp<br>
<br>
That may be great for someone using my-first-server-pony, but for me, I know how the internet works, and when I ask for a server, I want it to just work.<br>
<br>
Now, I know, I know - the DEPLOYER can make decisions blah blah blah.<br>
<br>
BS<br>
<br>
If OpenStack is going to let my deployer make the absolutely assinine decision that all of my network traffic should be blocked by default, it should give me, the USER, a get out of jail free card.<br>
<br>
kthxbai<br>
<br>
______________________________<u></u>_________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.<u></u>org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><font color="#999999">Best wishes!<br>Baohua<br></font>
</div>