<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta name="Generator" content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang="EN-GB" link="blue" vlink="purple"><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">This assumes that every router is directly attached to the internet. This may be the case with home broadband routers and many public clouds but for just about every corporate network in the world there are several devices that do routing that are not directly attached to the internet. The requirement to turn off NAT by default would suit a lot of use cases in my opinion. NAT is generally not used with IPv6 at all. NAT for IPv4 has a place and that is at the edge of the network and we should not assume that a Neutron router namespace is necessarily the edge.</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I’ve not experimented with OpenStack much yet but this is the sort of bizarre (or bizarre to me at least) assumption that also exists with CloudStack and is one of the reasons why I’m considering abandoning it in favour of OpenStack. Can anyone offer any knowledge on this front? Am I about to face the same problem with OpenStack?</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> George Mihaiescu [mailto:<a href="mailto:lmihaiescu@gmail.com">lmihaiescu@gmail.com</a>] <br><b>Sent:</b> 18 May 2015 11:39<br><b>To:</b> Simone Spinelli<br><b>Cc:</b> <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br><b>Subject:</b> Re: [Openstack] disable source nat by default</span></p><p class="MsoNormal"> </p><p>Couldn't you achieve the same goal with egress security rules?<br>Without SNAT enabled, those instances wouldn't be able to reach the Internet at all, so no package updates, etc.</p><div><p class="MsoNormal">On 18 May 2015 05:13, "Simone Spinelli" <<a href="mailto:simone.spinelli@gmail.com">simone.spinelli@gmail.com</a>> wrote:</p><div><p class="MsoNormal">Hi all,</p><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">by default neutron routers have source nat enabled and they masquerade using the external ip address: you can disable this function using API once the router is created. </p></div><div><p class="MsoNormal">Is there a way to disable this function by default (I mean create routers with source nat disabled )?</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Any help is appreciated. </p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Best regards</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Simone </p></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>Post to     : <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a></p></div></div></body></html>