<div dir="ltr"><div>Hi James,</div><div><br></div><div>Thank you for reporting it. We will take a look at it.</div><div><br></div><div>Best,</div><div>Maysa.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 3, 2020 at 5:11 PM James E. Blair <<a href="mailto:corvus@inaugust.com">corvus@inaugust.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
The openstack-infra team received a report from one of our<br>
infrastructure donors that a gate job run by Kuryr is running a DNS<br>
resolver open to the Internet.  This is dangerous as, if discovered, it<br>
can be used as part of DNS reflection attacks.  The community and our<br>
infrastructure donors share an interest in avoiding misuse of our<br>
resources.<br>
<br>
Would you please look into whether this job is perhaps opening its<br>
iptables ports too liberally, and whether that can be avoided?<br>
<br>
The job is kuryr-kubernetes-tempest-containerized-ovn, and the build<br>
which triggered the alerting system is this one:<br>
<br>
<a href="https://zuul.opendev.org/t/openstack/build/166301f57b21402d8d8443bb1e17f970" rel="noreferrer" target="_blank">https://zuul.opendev.org/t/openstack/build/166301f57b21402d8d8443bb1e17f970</a><br>
<br>
Thanks,<br>
<br>
Jim<br>
<br>
</blockquote></div>