<div dir="ltr">Well,<div><br></div><div>Now I'm using "firewall_driver = nova.virt.firewall.NoopFirewallDriver" for both Nova and Neutron (Open vSwitch Agent) but, Security Groups rules are applied but ignored.</div>

<div><br></div><div>Tips!?</div><div><br></div><div>Thanks!</div><div>Thiago</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 28 October 2013 21:13, Martinx - ジェームズ <span dir="ltr"><<a href="mailto:thiagocmartinsc@gmail.com" target="_blank">thiagocmartinsc@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Guys,<div><br></div><div>I'm back using "libvirt_vif_driver = nova.virt.libvirt.vif.LibvirtHybridOVSBridgeDriver" (nova-compute.conf) but the problem persist for "tenant1".</div>

<div>

<br></div><div>My nova.conf contains:</div><div><br></div><div>---</div><div><div># Network settings</div><div>network_api_class = nova.network.neutronv2.api.API</div><div>neutron_url = <a href="http://contrller-1.mydomain.com:9696" target="_blank">http://contrller-1.mydomain.com:9696</a></div>



<div>neutron_auth_strategy = keystone</div><div>neutron_admin_tenant_name = service</div><div>neutron_admin_username = neutron</div><div>neutron_admin_password = 123test123</div><div>neutron_admin_auth_url = <a href="http://controller-1.mydomain.com:35357/v2.0" target="_blank">http://controller-1.mydomain.com:35357/v2.0</a></div>



<div><br></div><div>linuxnet_interface_driver = nova.network.linux_net.LinuxOVSInterfaceDriver</div><div><br></div><div># If you want Neutron + Nova Security groups</div><div>firewall_driver = nova.virt.firewall.NoopFirewallDriver</div>



<div>security_group_api = neutron</div></div><div>---</div><div><br></div><div>Is that a valid configuration for Havana?! I'm get it from my previous Grizzly setup.</div><div><br></div><div>Also, I just realized that, there are two places to configure the "firewall_driver", first one is located at nova.conf, the second is located at "ovs_neutron_plugin.ini" under [securitygroups], of course, I believe, they must "match", I mean, I must be the same for both services, right?!</div>


<div><br></div><div>Thanks!</div><div>Thiago</div>
</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On 28 October 2013 20:30, Martinx - ジェームズ <span dir="ltr"><<a href="mailto:thiagocmartinsc@gmail.com" target="_blank">thiagocmartinsc@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Stackers!<div><br></div><div>I'm trying to configure my Security Groups and, I'm seeing that the rules are being applied at the Compute Node OVS ports (iptables / ip6tables) BUT, it does have no effect (or just being ignored?).</div>



<div>
<br></div><div>I'm using Ubuntu 12.04.3 + Havana from Cloud Archive.</div><div><br></div><div><br></div><div>For example:</div><div><br></div><div>I have 1 Instance with 1 Floating IP attached to it, open port is: 80.</div>




<div><br></div><div>Look:</div><div><br></div><div>---</div><div><div>root@hypervisor-1:~# iptables -L neutron-openvswi-i9cf07c24-7 -nv </div><div>Chain neutron-openvswi-i9cf07c24-7 (1 references)</div><div> pkts bytes target     prot opt in     out     source               destination         </div>



<div>    0     0 DROP       all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            state INVALID</div><div>    0     0 RETURN     all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            state RELATED,ESTABLISHED</div>



<div>    0     0 RETURN     tcp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            tcp dpt:80</div><div>    0     0 RETURN     udp  --  *      *       192.168.50.3         <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            udp spt:67 dpt:68</div>



<div>    0     0 neutron-openvswi-sg-fallback  all  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           </div><div>---</div>


</div><div><br></div><div><br>
</div><div>The problem is that the respective Instance still answers SSH to the Internet. I mean, ALL ports are OPEN!! Regardless of what I typed at its Security Groups.</div><div><br></div><div>I created one "Security Group", called "web", only with TCP port 80 on it, nothing more, nothing less. This Instance doesn't belong to the "default" Security Group", only "web".</div>



<div><br></div><div>Recently I've changed the <b>libvirt_vif_driver</b> from <b>nova.virt.libvirt.vif.LibvirtHybridOVSBridgeDriver</b> to <b>nova.virt.libvirt.vif.LibvirtOpenVswitchDriver</b>, maybe it is the cause?!</div>




<div><br></div><div><div>Any tips!?</div></div><div><br></div><div>Thanks!</div><div>Thiago</div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>