<div dir="ltr"><div>Hello,<br><br></div>Apologies for multiple posts, forgot to set proper subject in previous one.<br><div><div class="gmail_quote"><div dir="ltr"><div><div><div><div><br>I'd like to turn attention to the broken port rule masking problem [1], which affects 2 projects so far:<br>neutron (mitaka+ with ovs firewall driver configuration) and networking-ovs-dpdk [2].<br><br>To keep it short: the existing port masking implementation is broken and in several cases it will either leave a range of ports open (causing unrestricted access) or make some ports inaccessible (when they should be open) because of bad tp_src value being generated.<br><br></div>2 solutions have been proposed so far:<br></div>* The "low-level one" with O(log n) complexity by IWAMOTO Toshihiro and me [2]<br></div>* The "high-level one" with O(n^2) complexity by Jakub Libosvar [3]<br><br></div>As long as the bug looks like a security vulnerability and is kind of critical for ovs firewall feature, maybe we should choose one algorithm to go on with and have this fixed in Newton?<br><div><div><div><div><div><div><div><div><div><div><div><br>[1] <a target="_blank" href="https://bugs.launchpad.net/neutron/+bug/1611991">https://bugs.launchpad.net/<wbr>neutron/+bug/1611991</a><br>[2] <a target="_blank" href="https://review.openstack.org/#/c/353782/30">https://review.openstack.org/#<wbr>/c/353782/30</a><br>[3] <a target="_blank" href="https://review.openstack.org/#/c/353782/16">https://review.openstack.org/#<wbr>/c/353782/16</a><br><br></div><div>Best regards,<br>Inessa Vasilevskaya<br></div></div></div></div></div></div></div></div></div></div></div></div>
</div><br></div></div>