<p dir="ltr">No, there haven't been vulnerabilities where the rules you expressed in the API were not rendered as requested (unless there was a denial of service in which case the whole dataplane would fail to wire). The issues were people being able to escape their own anti-spoofing filtering so they could do IP spoofing and ARP poisoning. VM-local firewalls would not have helped in this case. </p>
<div class="gmail_quote">On Mar 2, 2016 10:50 AM, "Clark Boylan" <<a href="mailto:cboylan@sapwetik.org">cboylan@sapwetik.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, Mar 2, 2016, at 09:38 AM, Sean M. Collins wrote:<br>
> Kevin Benton wrote:<br>
> > * Neutron cannot be trusted to do what it says it's doing with the security<br>
> > groups API so users want to orchestrate firewalls directly on their<br>
> > instances.<br>
><br>
> This one really rubs me the wrong way. Can we please get a better<br>
> description of the bug - instead of someone just saying that Neutron<br>
> doesn't work, therefore we don't want any filtering or security for our<br>
> instances using an API?<br>
<br>
Sure. There are two ways this manifests. The first is that there have<br>
been bugs in security groups where traffic is passed despite being told<br>
not to pass that traffic. This has been treated as a bug in the past and<br>
corrected which is great so this particular instance of the issue is<br>
less worrysome. The second is that I will explicitly tell neutron to<br>
pass traffic but for whatever reason that traffic ends up being blocked<br>
anyways. One concrete example of this is the infra team has had to stop<br>
using GRE because at least two of our clouds do not pass GRE traffic<br>
despite having explicit "pass all ipv4 and all ipv6 between all possible<br>
addresses rules".<br>
<br>
Security groups need to do what I have told them to do and when they<br>
don't it is almost impossible as a cloud user to debug them.<br>
<br>
Clark<br>
<br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div>