<div dir="ltr"><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">Hi Dear All,</span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">I am running instances belonging to the same tenant and I would like to read with tcpdump all traffic going through the tenant from one specific instance.</span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">I am trying to modify neutron security groups  chain neutron-ofagent--sg-chain in order to do that.</span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">I have run iptables -L neutron-ofagent--s3287af4f-b --line-numbers command, which has the following output (10.10.10.3 is the address of instance on which I would like to analyse traffic) </span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">Chain neutron-ofagent--s3287af4f-b (1 references) </span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">num target prot opt source destination </span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">1 RETURN all -- 10.10.10.3 anywhere MAC FA:16:3E:AA:94:F0 /* Allow traffic from defined IP/MAC pairs. */ </span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">2 DROP all -- anywhere anywhere /* Drop traffic without an IP/MAC allow rule. */</span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px"><br></span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">Someone have suggestion about what rule I must add to allow the instance attached to that port to receive all packets in its tenant ?</span></font></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><span style="font-size:14px;line-height:21px;color:rgb(68,68,68);font-family:'PT Sans',arial,sans-serif">I am using Juno version of Openstack.</span></p><p style="margin:2px 10px 6px 0px;padding:0px;background-color:rgb(247,247,247)"><font color="#444444" face="PT Sans, arial, sans-serif"><span style="font-size:14px;line-height:21px">Best Regards</span></font></p></div>