OK, that sounds good...<br><br>I was talking about fixed IP to floating IP SNAT, which happens on the bridge interfaces. But if the sysctl flag only affects transiting packets, we should be good...<br><br>-Simon<br><br><div class="gmail_quote">
On Sat, Jul 21, 2012 at 8:15 AM, Narayan Desai <span dir="ltr"><<a href="mailto:narayan.desai@gmail.com" target="_blank">narayan.desai@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Sat, Jul 21, 2012 at 6:47 AM, Xu (Simon) Chen <<a href="mailto:xchenum@gmail.com">xchenum@gmail.com</a>> wrote:<br>
> Narayan,<br>
><br>
> If you do  net.bridge.bridge-nf-call-iptables = 0 on the network controller,<br>
> does floating IP still work? For each tenant/network, a subnet is created,<br>
> and the nova-network has a .1 gateway configured on the bridge with the vlan<br>
> interface plugged in.<br>
><br>
> The packets from VMs are actually sent to the bridge for NATting. But if you<br>
> doesn't allow the bridges to call iptables, it might break public access all<br>
> together. Don't know, maybe I'm not understanding the sysctl flag<br>
> correctly... Maybe it only applies to the packet transiting the bridge, not<br>
> impacting the ones destined to the nova-network?<br>
<br>
</div>Do you mean floating (private) or fixed (public) IPs? I suspect that<br>
you mean fixed. Fixed IPs worked regardless of this setting.<br>
<br>
The crux of the issue was that packets transiting the bridge (ie being<br>
moved from vlan200 to the virtual br200) were hitting filtering rules.<br>
It looks to me like the sysctls only apply to traffic moving across<br>
the bridge (ie exactly between vlan200 and br200), but don't bypass<br>
iptables entirely. I don't think that should effect NAT/SNAT in any<br>
case.<br>
 -nld<br>
</blockquote></div><br>