<div dir="ltr">Address scopes allow traffic to go across a router without performing any NAT. The rules you see there ensure that traffic isn't routed directly if it crosses from one address scope to another.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 1, 2017 at 7:21 AM, zhi <span dir="ltr"><<a href="mailto:changzhi1990@gmail.com" target="_blank">changzhi1990@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi, all.<div><br></div><div>I have some questions about l3 address scope in neutron.I hope that someone could give me some answers.</div><div><br></div><div>I set up a devstack environment and it uses the feature of l3 address scope by following the document [1]. After doing those steps,  I can find some iptables rules in namespace, showing like this:</div><div><br></div><div><div>root@devstack:~# iptables-save |grep neutron-l3-agent-scope</div><div>:neutron-l3-agent-scope - [0:0]</div><div>-A neutron-l3-agent-PREROUTING -j neutron-l3-agent-scope</div><div>-A neutron-l3-agent-scope -i qr-6d393225-2e -j MARK --set-xmark 0x4010000/0xffff0000</div><div>-A neutron-l3-agent-scope -i qr-d257abb8-e1 -j MARK --set-xmark 0x4000000/0xffff0000</div><div>-A neutron-l3-agent-scope -i qg-f64c7892-1d -j MARK --set-xmark 0x4010000/0xffff0000</div><div>:neutron-l3-agent-scope - [0:0]</div><div>-A neutron-l3-agent-FORWARD -j neutron-l3-agent-scope</div><div>-A neutron-l3-agent-scope -o qr-6d393225-2e -m mark ! --mark 0x4010000/0xffff0000 -j DROP</div><div>-A neutron-l3-agent-scope -o qr-d257abb8-e1 -m mark ! --mark 0x4000000/0xffff0000 -j DROP</div></div><div><br></div><div>What does these iptables rules used for ? In my opinion, by reading these rules, I can get some informations : any input traffic ( qr and qg devices ) will be marked and we only accept these marked traffic, isn't it?</div><div><br></div><div>What the purpose of the l3 address scope? <br></div><div><br></div><div>What can we benefit from l3 address scope?</div><div><br></div><div><br></div><div>Thanks</div><div>Zhi Chang</div><div><br></div><div>[1]: <a href="https://docs.openstack.org/draft/networking-guide/config-address-scopes.html" target="_blank">https://docs.openstack.<wbr>org/draft/networking-guide/<wbr>config-address-scopes.html</a></div></div>
<br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div>