<font color="#333333"><font><font face="tahoma,sans-serif">I have Multi interface and my network is similar with your describe <br></font></font></font><br><font color="#333333"><font><font face="tahoma,sans-serif">so I just need to make all other service not listening on 0.0.0.0<br>
<br></font></font></font><font color="#333333"><font><font face="tahoma,sans-serif">Thank you Vish</font></font></font><br><br><font color="#333333"><font><font face="tahoma,sans-serif">William<br></font></font></font><br>
<div class="gmail_quote">On Fri, Jun 1, 2012 at 3:39 PM, Vishvananda Ishaya <span dir="ltr"><<a href="mailto:vishvananda@gmail.com" target="_blank">vishvananda@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">Generally I handle this by using a different eth device (or vlan) for the instance network.  Then you make sure that no services on compute are listening on 0.0.0.0<div><br></div><div>If you have only one interface for example, you can run three vlans across it</div>
<div><br></div><div>eth0:10 -> public network <public ip address> for routing and floating ips and such. Nothing should listen here</div><div>eth0:11 -> management network <<a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> range> Rabbit and mysql run on this network. All services (ssh, etc.) run here</div>
<div>eth0:12 -> vm network <<a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> range> for vms. Nothing should listen here (except dnsmasq obviously)</div><div><br></div><div>Vish</div><div><br><div><div><div class="h5">
<div>On May 31, 2012, at 7:35 PM, William Herry wrote:</div><br></div></div><blockquote type="cite"><div><div class="h5"><font color="#3333ff"><font><font face="tahoma,sans-serif">We use FlatDHCP network mode, all thing work fine, instance has 10.0.0.x ip and 10.0.0.1 as gateway<br>
Our problem is that service(most time compute node) has little restrict from instance, <br>
which instance can see a lot opened port on service, I am thinking if this is a security problem<br><br>restrict service on compute node not listen on 10.0.0.x ip is the way I can thing to solve this, any other ways?<br>
<br>
Thanks<br clear="all"></font></font></font><br>-- <br><font><br><br><br><span style="font-family:tahoma,sans-serif;color:rgb(102,51,255)">William Herry</span></font><font style="font-family:tahoma,sans-serif;color:rgb(102,51,255)" size="2"><br>

====================</font><br style="font-family:tahoma,sans-serif;color:rgb(102,51,255)"><font style="font-family:tahoma,sans-serif;color:rgb(102,51,255)" size="2"><a href="mailto:WilliamHerryChina@Gmail.com" target="_blank">WilliamHerryChina@Gmail.com</a></font><font><span style="font-family:tahoma,sans-serif;color:rgb(102,51,255)"></span><br>

</font><br></div></div>
_______________________________________________<br>Mailing list: <a href="https://launchpad.net/%7Eopenstack" target="_blank">https://launchpad.net/~openstack</a><br>Post to     : <a href="mailto:openstack@lists.launchpad.net" target="_blank">openstack@lists.launchpad.net</a><br>
Unsubscribe : <a href="https://launchpad.net/%7Eopenstack" target="_blank">https://launchpad.net/~openstack</a><br>More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
</blockquote></div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br><font><br><br><br><span style="font-family:tahoma,sans-serif;color:rgb(102,51,255)">William Herry</span></font><font style="font-family:tahoma,sans-serif;color:rgb(102,51,255)" size="2"><br>
====================</font><span style="font-family:tahoma,sans-serif;color:rgb(102,51,255)"></span><br style="font-family:tahoma,sans-serif;color:rgb(102,51,255)"><font style="font-family:tahoma,sans-serif;color:rgb(102,51,255)" size="2">WilliamHerryChina@Gmail.com</font><font><span style="font-family:tahoma,sans-serif;color:rgb(102,51,255)"></span><br>
</font><br>