<div dir="ltr">Hi Brian,<div><br></div><div>Thanks for your reply.<br></div><div>We are using Queens release. FWAAS_v2 for sure doesn't work with DVR but without dvr it's all fine. I think the way dvr does the routing east-west (across two internal subnets) would never be able to work with iptables, because it's too complex to handle it. Probably that's why community is moving towards ovs rules. However, I made a few changes in the code to make the north-south firewall workable, will push a code change sometime soon after cleanup.<br></div><div><br></div><div>Salman<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 27, 2019 at 10:00 PM Brian Haley <<a href="mailto:haleyb.dev@gmail.com">haleyb.dev@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Salman,<br>
<br>
On 8/21/19 2:49 PM, Salman Khan wrote:<br>
> Hi Guys,<br>
> <br>
> I asked this question over #openstack-neutron channel but didn't get any <br>
> answer, so asking here in a hope that someone might read this email and <br>
> reply.<br>
> The problem is: I have enabled FWAAS_V2 with DVR and that doesn't seem <br>
> to work. I debugged things down to router namespaces and it looks like <br>
> iptables rules are applied to rfp-<network-id> interface which doesn't <br>
> exist in that namespace. So rules are completely wrong as they are <br>
> applied to an interface that doesn't exist, I mean there is rfp-* <br>
> interface but the <network-id> that fwaas expecting is not what it <br>
> should be. I tried applying the rules to qr-* interfaces in the <br>
> namespace but that didn't work as well, packets are dropping on <br>
> "invalid" state rule. That's probably because of nat rules from dvr.<br>
> Can someone please help me to understand this behaviour. Is it really <br>
> suppose to work or not. If there is any bug or fix pending or there is <br>
> any work ongoing to support this.<br>
<br>
Can you tell what version of neutron/neutron-fwaas you are using?<br>
<br>
Short of that I believe it should work, the only bug I found that seems <br>
related and was fixed recently (end of 2018) was <br>
<a href="https://bugs.launchpad.net/neutron/+bug/1762454" rel="noreferrer" target="_blank">https://bugs.launchpad.net/neutron/+bug/1762454</a> so maybe take a look at <br>
that and see if is the same thing.<br>
<br>
Otherwise maybe someone on the Fwaas team has seen it?<br>
<br>
-Brian<br>
</blockquote></div>