<div dir="ltr">Sorry missed ingress rules:<br><div>(neutron-openvswitch-agent)[root@uk-dc-tx2-01 /]# <b>iptables -S | grep neutron-openvswi-iba5cd56c-4</b><br>-N neutron-openvswi-iba5cd56c-4<br>-A neutron-openvswi-iba5cd56c-4 -m state --state RELATED,ESTABLISHED -m comment --comment "Direct packets associated with a known session to the RETURN chain." -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -d <a href="http://192.168.200.6/32">192.168.200.6/32</a> -p udp -m udp --sport 67 --dport 68 -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -d <a href="http://255.255.255.255/32">255.255.255.255/32</a> -p udp -m udp --sport 67 --dport 68 -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -p tcp -m tcp -m multiport --dports 1:65535 -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -p icmp -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -p tcp -m tcp --dport 22 -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -m set --match-set NIPv40cd3823f-af20-4015-b9f4- src -j RETURN<br>-A neutron-openvswi-iba5cd56c-4 -m state --state INVALID -m comment --comment "Drop packets that appear related to an existing connection (e.g. TCP ACK/FIN) but do not have an entry in conntrack." -j DROP<br>-A neutron-openvswi-iba5cd56c-4 -m comment --comment "Send unmatched traffic to the fallback chain." -j neutron-openvswi-sg-fallback<br>-A neutron-openvswi-sg-chain -m physdev --physdev-out tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-iba5cd56c-4<br><br></div><div>And <b>ml2_conf.ini</b>:</div><div>[ml2]<br>type_drivers = flat,vlan,vxlan<br>tenant_network_types = vxlan<br>mechanism_drivers = openvswitch,l2population<br>extension_drivers = port_security<br><br>[ml2_type_vlan]<br>network_vlan_ranges =<br><br>[ml2_type_flat]<br>flat_networks = physnet1<br><br>[ml2_type_vxlan]<br>vni_ranges = 1:1000<br>vxlan_group = 239.1.1.1<br><br>[securitygroup]<br>firewall_driver = neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver<br><br>[agent]<br>tunnel_types = vxlan<br>l2_population = true<br>arp_responder = true<br><br>[ovs]<br>datapath_type = system<br>ovsdb_connection = tcp:<a href="http://127.0.0.1:6640">127.0.0.1:6640</a><br>local_ip = 10.22.20.4<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 15, 2019 at 4:16 PM Shuai Zhao <<a href="mailto:kevinzs2048@gmail.com">kevinzs2048@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Neutron,<div>I've deployed Rocky-rc2 version on Debian Buster(compute node), kernel Linux 4.19</div><div><br></div><div>Now the issue:</div><div>The VM running on the Host(Debian Buster) could not get IP when Booting. I use tcpdump to get the packet on tap, qbr, qvb and qvo. </div><div><b>The DHCP broadcast packet could be dumped at tap and qbr, but not at qvo/qvb.</b> So the DHCP failed. All the firewall policy is neutron automatic generated.</div><div><br></div><div>The firewall policy is never changed.</div><div>(neutron-openvswitch-agent)[root@** /]# iptables -S | grep tapba5cd56c-46<br>-A neutron-openvswi-FORWARD -m physdev --physdev-out tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Direct traffic from the VM interface to the security group chain." -j neutron-openvswi-sg-chain<br>-A neutron-openvswi-FORWARD -m physdev --physdev-in tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Direct traffic from the VM interface to the security group chain." -j neutron-openvswi-sg-chain<br>-A neutron-openvswi-INPUT -m physdev --physdev-in tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Direct incoming traffic from VM to the security group chain." -j neutron-openvswi-oba5cd56c-4<br>-A neutron-openvswi-sg-chain -m physdev --physdev-out tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-iba5cd56c-4<br>-A neutron-openvswi-sg-chain -m physdev --physdev-in tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-oba5cd56c-4<br></div><div><br></div><div>(neutron-openvswitch-agent)[root@*** /]#<b> iptables -S | grep neutron-openvswi-oba5cd56c-4</b><br>-N neutron-openvswi-oba5cd56c-4<br>-A neutron-openvswi-INPUT -m physdev --physdev-in tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Direct incoming traffic from VM to the security group chain." -j neutron-openvswi-oba5cd56c-4<br>-A neutron-openvswi-oba5cd56c-4 -s <a href="http://0.0.0.0/32" target="_blank">0.0.0.0/32</a> -d <a href="http://255.255.255.255/32" target="_blank">255.255.255.255/32</a> -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN<br>-A neutron-openvswi-oba5cd56c-4 -j neutron-openvswi-sba5cd56c-4<br>-A neutron-openvswi-oba5cd56c-4 -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN<br>-A neutron-openvswi-oba5cd56c-4 -p udp -m udp --sport 67 --dport 68 -m comment --comment "Prevent DHCP Spoofing by VM." -j DROP<br>-A neutron-openvswi-oba5cd56c-4 -m state --state RELATED,ESTABLISHED -m comment --comment "Direct packets associated with a known session to the RETURN chain." -j RETURN<br>-A neutron-openvswi-oba5cd56c-4 -j RETURN<br>-A neutron-openvswi-oba5cd56c-4 -m state --state INVALID -m comment --comment "Drop packets that appear related to an existing connection (e.g. TCP ACK/FIN) but do not have an entry in conntrack." -j DROP<br>-A neutron-openvswi-oba5cd56c-4 -m comment --comment "Send unmatched traffic to the fallback chain." -j neutron-openvswi-sg-fallback<br>-A neutron-openvswi-sg-chain -m physdev --physdev-in tapba5cd56c-46 --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-oba5cd56c-4</div><div><br></div><div>Pls help to give some advices about that.</div><div>Thanks a lot!</div><div><br></div><div><br></div></div>
</blockquote></div>