<div><div dir="auto">I saw the counter is not 0. But no sctp conntrack module in my system. How can i find it?</div><div dir="auto"><br></div><div dir="auto"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]# ovs-ofctl dump-flows br-int | grep +inv</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">cookie=0x46c226b6d9a3ff8f, duration=229312.185s, table=72, n_packets=13, n_bytes=1274, idle_age=65534, hard_age=65534, priority=50,ct_state=+inv+trk actions=resubmit(,93)</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">cookie=0x46c226b6d9a3ff8f, duration=229312.186s, table=82, n_packets=2517, n_bytes=925218, idle_age=65534, hard_age=65534, priority=50,ct_state=+inv+trk actions=resubmit(,93)</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]# lsmod | grep sctp</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]# modprobe ip_conntrack_proto_sctp</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">modprobe: FATAL: Module ip_conntrack_proto_sctp not found.</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core)</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]#</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">[root@compute02 ~]# uname -r</span><br style="color:rgb(33,33,33)"><br style="color:rgb(33,33,33)"><span style="color:rgb(33,33,33)">3.10.0-957.el7.x86_64</span><br></div><br><div class="gmail_quote"><div>Vào Th 5, 8 thg 8, 2019 lúc 04:37 Jakub Libosvar <<a href="mailto:jlibosva@redhat.com">jlibosva@redhat.com</a>> đã viết:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 05/08/2019 12:01, <a href="mailto:thuanlk@viettel.com.vn" target="_blank">thuanlk@viettel.com.vn</a> wrote:<br>
> I have tried any version of OpenvSwitch but problem continue happened.<br>
> Is Openvswitch firewall support sctp?<br>
<br>
Yes, as long as you have sctp conntrack support in kernel. Can you paste<br>
output of 'ovs-ofctl dump-flows br-int | grep +inv' on the node where<br>
the VM using sctp is running? If the counters are not 0 it's likely that<br>
you're missing the sctp conntrack kernel module.<br>
<br>
Jakub<br>
<br>
> <br>
> Thanks and best regards !<br>
> <br>
> ---------------------------------------<br>
> Lăng Khắc Thuận<br>
> OCS Cloud | OCS (VTTEK)<br>
> +(84)- 966463589<br>
> <br>
> <br>
> -----Original Message-----<br>
> From: Lang Khac Thuan [mailto:<a href="mailto:thuanlk@viettel.com.vn" target="_blank">thuanlk@viettel.com.vn</a>] <br>
> Sent: Tuesday, July 30, 2019 11:22 AM<br>
> To: '<a href="mailto:smooney@redhat.com" target="_blank">smooney@redhat.com</a>' <<a href="mailto:smooney@redhat.com" target="_blank">smooney@redhat.com</a>>; '<a href="mailto:openstack-discuss@lists.openstack.org" target="_blank">openstack-discuss@lists.openstack.org</a>' <<a href="mailto:openstack-discuss@lists.openstack.org" target="_blank">openstack-discuss@lists.openstack.org</a>><br>
> Subject: RE: [neutron] OpenvSwitch firewall sctp getting dropped<br>
> <br>
> I have tried config SCTP but nothing change!<br>
> <br>
> openstack security group rule create --ingress --remote-ip <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> --protocol 132 --dst-port 2000:10000 --description "SCTP" sctp openstack security group rule create --egress --remote-ip <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> --protocol 132 --dst-port 2000:10000 --description "SCTP" sctp<br>
> <br>
> Displaying 2 items<br>
> Direction     Ether Type      IP Protocol     Port Range      Remote IP Prefix        Remote Security Group   Actions<br>
> Egress        IPv4    132     2000 - 10000    <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a>       -       <br>
> Ingress       IPv4    132     2000 - 10000    <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a>       -       <br>
> <br>
> <br>
> Thanks and best regards !<br>
> <br>
> ---------------------------------------<br>
> Lăng Khắc Thuận<br>
> OCS Cloud | OCS (VTTEK)<br>
> +(84)- 966463589<br>
> <br>
> <br>
> -----Original Message-----<br>
> From: <a href="mailto:smooney@redhat.com" target="_blank">smooney@redhat.com</a> [mailto:<a href="mailto:smooney@redhat.com" target="_blank">smooney@redhat.com</a>]<br>
> Sent: Tuesday, July 30, 2019 1:27 AM<br>
> To: <a href="mailto:thuanlk@viettel.com.vn" target="_blank">thuanlk@viettel.com.vn</a>; <a href="mailto:openstack-discuss@lists.openstack.org" target="_blank">openstack-discuss@lists.openstack.org</a><br>
> Subject: Re: [neutron] OpenvSwitch firewall sctp getting dropped<br>
> <br>
> On Mon, 2019-07-29 at 22:38 +0700, <a href="mailto:thuanlk@viettel.com.vn" target="_blank">thuanlk@viettel.com.vn</a> wrote:<br>
>> I have installed Openstack Queens on CentOs 7 with OvS and I recently <br>
>> used the native openvswitch firewall to implement SecusiryGroup. The <br>
>> native OvS firewall seems to work just fine with TCP/UDP traffic but <br>
>> it does not forward any SCTP traffic going to the VMs no matter how I <br>
>> change the security groups, But it run if i disable port security <br>
>> completely or use iptables_hybrid firewall driver. What do I have to <br>
>> do to allow SCTP packets to reach the VMs?<br>
> the security groups api is a whitelist model so all traffic is droped by default.<br>
> <br>
> if you want to allow sctp you would ihave to create an new security group rule with ip_protocol set to the protocol number for sctp.<br>
> <br>
> e.g. <br>
> openstack security group rule create --protocol sctp ...<br>
> <br>
> im not sure if neutron support --dst-port for sctp but you can still filter on --remote-ip or --remote-group and can specify the rule as an  --ingress or  --egress rule as normal.<br>
> <br>
> <a href="https://docs.openstack.org/python-openstackclient/stein/cli/command-objects/security-group-rule.html" rel="noreferrer" target="_blank">https://docs.openstack.org/python-openstackclient/stein/cli/command-objects/security-group-rule.html</a><br>
> <br>
> based on this commit <a href="https://github.com/openstack/neutron/commit/f711ad78c5c0af44318c6234957590c91592b984" rel="noreferrer" target="_blank">https://github.com/openstack/neutron/commit/f711ad78c5c0af44318c6234957590c91592b984</a><br>
> <br>
> it looks like neutron now validates the prot ranges for sctp impligying it support setting them so i gues its just a gap in the documentation.<br>
> <br>
> <br>
> <br>
>><br>
> <br>
> <br>
<br>
<br>
</blockquote></div></div><div dir="ltr">-- <br></div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div style="color:rgb(136,136,136)"><div><b><i>Lăng Khắc Thuận</i></b></div><div><b><i><br></i></b></div><div><b><u>Phone</u></b>: <font color="#006600"><a value="+841682777384" style="color:rgb(17,85,204)">01649729889</a></font> </div><div><b><u>Email</u>: <font color="#006600"><a href="mailto:leduydungttk54@gmail.com" style="color:rgb(17,85,204)" target="_blank">khacthuan.hut@gmail.com</a></font></b></div><div><b><u><font color="#006600">Skype:</font></u><font color="#006600"> khacthuan_bk</font></b></div><div><b><font color="#006600"><br></font></b></div><div><div><b><font color="#006600">Student at Applied Mathematics and Informatics</font></b></div><div><b><font color="#006600">Center for training of excellent students</font></b></div><div><b><font color="#006600">Hanoi University of Science and Technology. </font></b></div></div></div></div></div>