<div dir="ltr"><div>Hi Derek,</div><div><br></div><div>Yes, these rules would need to be added inside the router namespace when it is created and it seems to me it is a workable solution. I will raise this work in the next L3 sub-team meeting, so we keep an eye on the patches / progress you make</div><div><br></div><div>Regards</div><div><br></div><div>Miguel<br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Jan 7, 2019 at 11:54 AM Derek Higgins <<a href="mailto:derekh@redhat.com" target="_blank">derekh@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, 7 Jan 2019 at 17:08, Clark Boylan <<a href="mailto:cboylan@sapwetik.org" target="_blank">cboylan@sapwetik.org</a>> wrote:<br>
><br>
> On Mon, Jan 7, 2019, at 8:48 AM, Julia Kreger wrote:<br>
> > Thanks for bringing this up Derek!<br>
> > Comments below.<br>
> ><br>
> > On Mon, Jan 7, 2019 at 8:30 AM Derek Higgins <<a href="mailto:derekh@redhat.com" target="_blank">derekh@redhat.com</a>> wrote:<br>
> > ><br>
> > > Hi All,<br>
> > ><br>
> > > Shortly before the holidays CI jobs moved from xenial to bionic, for<br>
> > > Ironic this meant a bunch failures[1], all have now been dealt with,<br>
> > > with the exception of the UEFI job. It turns out that during this job<br>
> > > our (virtual) baremetal nodes use tftp to download a ipxe image. In<br>
> > > order to track these tftp connections we have been making use of the<br>
> > > fact that nf_conntrack_helper has been enabled by default. In newer<br>
> > > kernel versions[2] this is no longer the case and I'm now trying to<br>
> > > figure out the best way to deal with the new behaviour. I've put<br>
> > > together some possible solutions along with some details on why they<br>
> > > are not ideal and would appreciate some opinions<br>
> ><br>
> > The git commit message suggests that users should explicitly put in rules such<br>
> > that the traffic is matched. I feel like the kernel change ends up<br>
> > being a behavior<br>
> > change in this case.<br>
> ><br>
> > I think the reasonable path forward is to have a configuration<br>
> > parameter that the<br>
> > l3 agent can use to determine to set the netfilter connection tracker helper.<br>
> ><br>
> > Doing so, allows us to raise this behavior change to operators minimizing the<br>
> > need of them having to troubleshoot it in production, and gives them a choice<br>
> > in the direction that they wish to take.<br>
><br>
> <a href="https://home.regit.org/netfilter-en/secure-use-of-helpers/" rel="noreferrer" target="_blank">https://home.regit.org/netfilter-en/secure-use-of-helpers/</a> seems to cover this. Basically you should explicitly enable specific helpers when you need them rather than relying on the auto helper rules.<br>
<br>
Thanks, I forgot to point out the option of adding these rules, If I<br>
understand it correctly they would need to be added inside the router<br>
namespace when neutron creates it, somebody from neutron might be able<br>
to indicate if this is a workable solution.<br>
<br>
><br>
> Maybe even avoid the configuration option entirely if ironic and neutron can set the required helper for tftp when tftp is used?<br>
><br>
> ><br>
> > [trim]<br>
> ><br>
><br>
> [more trimming]<br>
><br>
<br>
</blockquote></div>