<div dir="ltr"><div dir="ltr"><div dir="ltr">I tried to configure the firewall for OpenStack Controller and Compute node and here are the rules I added to the firewall:<div>myZone (active)<br></div><div><div>  target: default</div><div>  icmp-block-inversion: no</div><div>  interfaces: enp2s0 enp7s4</div><div>  sources: </div><div>  services: ssh dhcpv6-client</div><div>  ports: 80/tcp 6080/tcp 11211/tcp 9696/tcp</div><div>  protocols: </div><div>  masquerade: no</div><div>  forward-ports: </div><div>  source-ports: </div><div>  icmp-blocks: </div><div>  rich rules: </div><div><span style="white-space:pre"> </span>rule family="ipv4" source address="192.168.0.32" accept</div><div><span style="white-space:pre">   </span>rule family="ipv4" source address="192.168.0.31" accept</div></div><div><br></div><div>The address of the Controller and the Compute nodes are 192.168.0.31 and 192.168.0.32, respectively.</div><div>Using these rules I can use Horizon on the browser and the Compute node services can connect to the Controller nodes ports. </div><div><br></div><div>The problem is when the firewall is enabled on the Controller node, instances that are running on the Controller node (I configure the Controller node as the Compute node, too) just can be pinged and all other VMs and nodes (including the Controller node) cannot connect to it (using SSH or any other connection to a specific port).</div><div><ul><li>There is no firewall running on instances.<br></li><li>I configured an external network to connect VMs to each other</li><li>CentOS7 is running on all nodes</li></ul>Here are ports listening on the Controller node:<br><div>Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    </div><div>tcp        0      0 <a href="http://0.0.0.0:8775">0.0.0.0:8775</a>            0.0.0.0:*               LISTEN      4478/python2        </div><div>tcp        0      0 <a href="http://0.0.0.0:9191">0.0.0.0:9191</a>            0.0.0.0:*               LISTEN      4461/python2        </div><div>tcp        0      0 <a href="http://0.0.0.0:5000">0.0.0.0:5000</a>            0.0.0.0:*               LISTEN      10189/httpd         </div><div>tcp        0      0 <a href="http://0.0.0.0:8776">0.0.0.0:8776</a>            0.0.0.0:*               LISTEN      4487/python2        </div><div>tcp        0      0 <a href="http://0.0.0.0:25672">0.0.0.0:25672</a>           0.0.0.0:*               LISTEN      4466/beam.smp       </div><div>tcp        0      0 <a href="http://0.0.0.0:8778">0.0.0.0:8778</a>            0.0.0.0:*               LISTEN      10189/httpd         </div><div>tcp        0      0 <a href="http://192.168.0.31:3306">192.168.0.31:3306</a>       0.0.0.0:*               LISTEN      4860/mysqld         </div><div>tcp        0      0 <a href="http://192.168.0.31:2379">192.168.0.31:2379</a>       0.0.0.0:*               LISTEN      4464/etcd           </div><div>tcp        0      0 <a href="http://192.168.0.31:11211">192.168.0.31:11211</a>      0.0.0.0:*               LISTEN      4457/memcached      </div><div>tcp        0      0 <a href="http://127.0.0.1:11211">127.0.0.1:11211</a>         0.0.0.0:*               LISTEN      4457/memcached      </div><div>tcp        0      0 <a href="http://192.168.0.31:5900">192.168.0.31:5900</a>       0.0.0.0:*               LISTEN      16844/qemu-kvm      </div><div>tcp        0      0 <a href="http://0.0.0.0:9292">0.0.0.0:9292</a>            0.0.0.0:*               LISTEN      4500/python2        </div><div>tcp        0      0 <a href="http://192.168.0.31:2380">192.168.0.31:2380</a>       0.0.0.0:*               LISTEN      4464/etcd           </div><div>tcp        0      0 <a href="http://192.168.0.31:5901">192.168.0.31:5901</a>       0.0.0.0:*               LISTEN      16982/qemu-kvm      </div><div>tcp        0      0 <a href="http://192.168.0.31:5902">192.168.0.31:5902</a>       0.0.0.0:*               LISTEN      17339/qemu-kvm      </div><div>tcp        0      0 <a href="http://192.168.0.31:5903">192.168.0.31:5903</a>       0.0.0.0:*               LISTEN      17621/qemu-kvm      </div><div>tcp        0      0 <a href="http://192.168.0.31:5904">192.168.0.31:5904</a>       0.0.0.0:*               LISTEN      17840/qemu-kvm      </div><div>tcp        0      0 <a href="http://0.0.0.0:80">0.0.0.0:80</a>              0.0.0.0:*               LISTEN      10189/httpd         </div><div>tcp        0      0 <a href="http://0.0.0.0:4369">0.0.0.0:4369</a>            0.0.0.0:*               LISTEN      1/systemd           </div><div>tcp        0      0 <a href="http://0.0.0.0:22">0.0.0.0:22</a>              0.0.0.0:*               LISTEN      4468/sshd           </div><div>tcp        0      0 <a href="http://192.168.0.31:3260">192.168.0.31:3260</a>       0.0.0.0:*               LISTEN      -                   </div><div>tcp        0      0 <a href="http://0.0.0.0:6080">0.0.0.0:6080</a>            0.0.0.0:*               LISTEN      4458/python2        </div><div>tcp        0      0 <a href="http://0.0.0.0:9696">0.0.0.0:9696</a>            0.0.0.0:*               LISTEN      4473/python2        </div><div>tcp        0      0 <a href="http://0.0.0.0:8774">0.0.0.0:8774</a>            0.0.0.0:*               LISTEN      4478/python2        </div><div>tcp6       0      0 :::5672                 :::*                    LISTEN      4466/beam.smp       </div><div>tcp6       0      0 :::22                   :::*                    LISTEN      4468/sshd </div><div><br></div><div>So, is there any port or something to add to firewall rules for making instances reachable when the firewall is running on the Controller node?</div></div><div><br></div></div></div></div>