<div dir="ltr">Hi,<div><br></div><div>I have a patch out in which I want to make sure any allow rules are processed before the rule that drops packets conntrack deems as INVALID.[1] This rule interferes with setups where conntrack might not see the first part of a TCP handshake because of encapsulation in a load balancer direct-service-return setup.</div><div><br></div><div>What I would like to know is why the rule was added in the first place and if there are any concerns with not processing it before the allow rules. The only thing I can see that it's really stopping is SYN-ACK probing to ports the security groups are configured to allow, in which case a SYN probe would likely work just as well.</div><div><br></div><div>Any feedback here or directly on the patch would be great.</div><div><br></div><div>1. <a href="https://review.openstack.org/#/c/218517/">https://review.openstack.org/#/c/218517/</a><br clear="all"><div><br></div><div><br></div><div>Cheers</div>-- <br><div class="gmail_signature"><div>Kevin Benton</div></div>
</div></div>