<html><body><p><b><font size="2" face="Arial">I'm using OVSHybridIptablesFirewallDriver in ovs_neutron_plugin.ini</font></b><font face="Arial"><br></font><i><font size="2" face="Arial"><br>[securitygroup]<br>firewall_driver = neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver<br>enable_security_group = True</font></i><font face="Arial"><br></font><font size="2" face="Arial"><br></font><b><font size="2" face="Arial">But I can not see any related rules added in iptables after restart neutron-openvswitch-agent.</font></b><b><font face="Arial"><br></font></b><b><font size="2" face="Arial"><br>Anyone have seen same issue before ? This is in Juno release.</font></b><br><b><font size="2" face="Arial">any idea which configuration could be wrong/missed ? </font></b><b><font face="Arial"><br></font></b><font face="Arial"><br></font><font size="2" face="Arial"><br># iptables -L</font><i><font size="2" face="Arial"><br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination<br>neutron-openvswi-INPUT all -- anywhere anywhere<br>FWR all -- anywhere anywhere</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain FORWARD (policy ACCEPT)<br>target prot opt source destination<br>neutron-filter-top all -- anywhere anywhere<br>neutron-openvswi-FORWARD all -- anywhere anywhere</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br>neutron-filter-top all -- anywhere anywhere<br>neutron-openvswi-OUTPUT all -- anywhere anywhere</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain FWR (1 references)<br>target prot opt source destination<br>ACCEPT all -- anywhere anywhere<br>ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED<br>ACCEPT icmp -- anywhere anywhere<br>ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh<br>ACCEPT tcp -- anywhere anywhere multiport dports 52311<br>ACCEPT udp -- anywhere anywhere multiport dports 52311<br>ACCEPT udp -- anywhere anywhere multiport dports 55400:55415<br>ACCEPT udp -- anywhere anywhere multiport sports 55400:55415<br>REJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable<br>REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-filter-top (2 references)<br>target prot opt source destination<br>neutron-openvswi-local all -- anywhere anywhere</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-FORWARD (1 references)<br>target prot opt source destination</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-INPUT (1 references)<br>target prot opt source destination</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-OUTPUT (1 references)<br>target prot opt source destination</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-local (1 references)<br>target prot opt source destination</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-sg-chain (0 references)<br>target prot opt source destination</font></i><i><font face="Arial"><br></font></i><i><font size="2" face="Arial"><br>Chain neutron-openvswi-sg-fallback (0 references)<br>target prot opt source destination<br>DROP all -- anywhere anywhere</font></i><br><font face="Arial"><br>Thanks<br>Jeff Feng</font><br><br><br><BR>
</body></html>