<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 22 September 2016 at 05:50, Inessa Vasilevskaya <span dir="ltr"><<a href="mailto:ivasilevskaya@mirantis.com" target="_blank">ivasilevskaya@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hello,<br><br></div>Apologies for multiple posts, forgot to set proper subject in previous one.<br><div><div class="gmail_quote"><div dir="ltr"><div><div><div><div><br>I'd like to turn attention to the broken port rule masking problem [1], which affects 2 projects so far:<br>neutron (mitaka+ with ovs firewall driver configuration) and networking-ovs-dpdk [2].<br><br>To keep it short: the existing port masking implementation is broken and in several cases it will either leave a range of ports open (causing unrestricted access) or make some ports inaccessible (when they should be open) because of bad tp_src value being generated.<br><br></div>2 solutions have been proposed so far:<br></div>* The "low-level one" with O(log n) complexity by IWAMOTO Toshihiro and me [2]<br></div>* The "high-level one" with O(n^2) complexity by Jakub Libosvar [3]<br><br></div>As long as the bug looks like a security vulnerability and is kind of critical for ovs firewall feature, maybe we should choose one algorithm to go on with and have this fixed in Newton?<br><div><div><div><div><div><div><div><div><div><div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></blockquote><div><br></div><div>We'll try to converge on a path forward during today's Neutron drivers meeting. Watch the logs.</div><div><br></div><div>Cheers,</div><div>Armando</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div class="gmail_quote"><div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div>[1] <a href="https://bugs.launchpad.net/neutron/+bug/1611991" target="_blank">https://bugs.launchpad.net/neu<wbr>tron/+bug/1611991</a><br>[2] <a href="https://review.openstack.org/#/c/353782/30" target="_blank">https://review.openstack.org/#<wbr>/c/353782/30</a><br>[3] <a href="https://review.openstack.org/#/c/353782/16" target="_blank">https://review.openstack.org/#<wbr>/c/353782/16</a><br><br></div><div>Best regards,<br>Inessa Vasilevskaya<br></div></div></div></div></div></div></div></div></div></div></div></div>
</div><br></div></div>
<br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div></div>