<div dir="ltr">I am facing a mysterious situation. I am using LinuxBridge (ML2) on OpenStack Newton all-in-one. I set up tcpdump on the tap device used by the instance and then attach a floating ip from web UI. I see traffic flowing for a few seconds after which there is no further traffic in/out of this tap device. During the first few seconds, I am able to ssh into the instance using the pubic ip. After 5-7 seconds, no connection could be established from the Internet. However I am still able to ssh into the instance if I execute ssh w.r.t the corresponding network namespace, like:<div><br></div><div># ip netns exec <NETNS> ssh cirros@<PUBLIC_IP></div><div><br></div><div>Why is this happening? I do not see any specific errors in neutron logs even with debug on.<br><br>Attaching the relevant configs below.</div><div><br></div><div><br></div><div><br></div><div><div># grep -Ev '^#|^$' /etc/nova/nova.conf</div><div>[DEFAULT]</div><div>auth_strategy = keystone</div><div>disk_allocation_ratio=10.0</div><div>my_ip = <PUBLIC_IP></div><div>use_neutron = True</div><div>enabled_apis = osapi_compute,metadata</div><div>firewall_driver = nova.virt.firewall.NoopFirewallDriver</div><div>transport_url = rabbit://<a href="mailto:openstack%3A55de10077d1f953e8329@openstack.mycloud.com">openstack:55de10077d1f953e8329@openstack.mycloud.com</a></div><div>[api_database]</div><div>connection = mysql+pymysql://<a href="http://nova:9a55c0c04085248aa039@openstack.mycloud.com/nova_api">nova:9a55c0c04085248aa039@openstack.mycloud.com/nova_api</a></div><div>[barbican]</div><div>[cache]</div><div>[cells]</div><div>[cinder]</div><div>os_region_name = RegionOne</div><div>[cloudpipe]</div><div>[conductor]</div><div>[cors]</div><div>[cors.subdomain]</div><div>[crypto]</div><div>[database]</div><div>connection = mysql+pymysql://<a href="http://nova:9a55c0c04085248aa039@openstack.mycloud.com/nova">nova:9a55c0c04085248aa039@openstack.mycloud.com/nova</a></div><div>[ephemeral_storage_encryption]</div><div>[glance]</div><div>api_servers = <a href="http://openstack.mycloud.com:9292">http://openstack.mycloud.com:9292</a></div><div>[guestfs]</div><div>[hyperv]</div><div>[image_file_url]</div><div>[ironic]</div><div>[key_manager]</div><div>[keystone_authtoken]</div><div>auth_uri = <a href="http://openstack.mycloud.com:5000">http://openstack.mycloud.com:5000</a></div><div>auth_url = <a href="http://openstack.mycloud.com:35357">http://openstack.mycloud.com:35357</a></div><div>memcached_servers = <a href="http://openstack.mycloud.com:11211">openstack.mycloud.com:11211</a></div><div>auth_type = password</div><div>project_domain_name = Default</div><div>user_domain_name = Default</div><div>project_name = service</div><div>username = nova</div><div>password = 57227b66ed883b739e0b</div><div>[libvirt]</div><div>virt_type=kvm</div><div>[matchmaker_redis]</div><div>[metrics]</div><div>[mks]</div><div>[neutron]</div><div>url = <a href="http://openstack.mycloud.com:9696">http://openstack.mycloud.com:9696</a></div><div>auth_url = <a href="http://openstack.mycloud.com:35357">http://openstack.mycloud.com:35357</a></div><div>auth_type = password</div><div>project_domain_name = Default</div><div>user_domain_name = Default</div><div>region_name = RegionOne</div><div>project_name = service</div><div>username = neutron</div><div>password = 8b229c60d8faf31da416</div><div>service_metadata_proxy = True</div><div>metadata_proxy_shared_secret = d37bee945996e7ed5100</div><div>[osapi_v21]</div><div>[oslo_concurrency]</div><div>lock_path=/var/lib/nova/tmp</div><div>[oslo_messaging_amqp]</div><div>[oslo_messaging_notifications]</div><div>[oslo_messaging_rabbit]</div><div>[oslo_messaging_zmq]</div><div>[oslo_middleware]</div><div>[oslo_policy]</div><div>[placement]</div><div>[placement_database]</div><div>[rdp]</div><div>[remote_debug]</div><div>[serial_console]</div><div>[spice]</div><div>[ssl]</div><div>[trusted_computing]</div><div>[upgrade_levels]</div><div>[vmware]</div><div>[vnc]</div><div>enabled=true</div><div>vncserver_listen = $my_ip</div><div>vncserver_proxyclient_address = $my_ip</div><div>novncproxy_base_url = <a href="http://openstack.mycloud.com:6080/vnc_auto.html">http://openstack.mycloud.com:6080/vnc_auto.html</a></div><div>[workarounds]</div><div>[wsgi]</div><div>[xenserver]</div><div>[xvp]</div><div><br></div><div><br></div><div><br></div><div><br></div><div># grep -Ev '^#|^$' /etc/neutron/l3_agent.ini </div><div>[DEFAULT]</div><div>interface_driver = neutron.agent.linux.interface.BridgeInterfaceDriver</div><div>debug = true</div><div>[AGENT]</div><div><br></div><div><br></div><div><br></div><div><br></div><div># grep -Ev '^#|^$' /etc/neutron/dhcp_agent.ini </div><div>[DEFAULT]</div><div>interface_driver = neutron.agent.linux.interface.BridgeInterfaceDriver</div><div>dhcp_driver = neutron.agent.linux.dhcp.Dnsmasq</div><div>enable_isolated_metadata = True</div><div>[AGENT]</div><div><br></div><div><br></div><div><br></div><div><br></div><div># grep -Ev '^#|^$' /etc/neutron/metadata_agent.ini</div><div>[DEFAULT]</div><div>nova_metadata_ip = <a href="http://openstack.mycloud.com">openstack.mycloud.com</a></div><div>metadata_proxy_shared_secret = d37bee945996e7ed5100</div><div>[AGENT]</div><div>[cache]</div><div><br></div><div><br></div><div><br></div><div><br></div><div># grep -Ev '^#|^$' /etc/neutron/neutron.conf </div><div>[DEFAULT]</div><div>auth_strategy = keystone</div><div>core_plugin = ml2</div><div>service_plugins = router</div><div>allow_overlapping_ips = True</div><div>notify_nova_on_port_status_changes = true</div><div>notify_nova_on_port_data_changes = true</div><div>debug = true</div><div>transport_url = rabbit://<a href="mailto:openstack%3A55de10077d1f953e8329@openstack.mycloud.com">openstack:55de10077d1f953e8329@openstack.mycloud.com</a></div><div>[agent]</div><div>[cors]</div><div>[cors.subdomain]</div><div>[database]</div><div>connection = mysql+pymysql://<a href="http://neutron:60f65e693265e449983b@openstack.mycloud.com/neutron">neutron:60f65e693265e449983b@openstack.mycloud.com/neutron</a></div><div>[keystone_authtoken]</div><div>auth_uri = <a href="http://openstack.mycloud.com:5000">http://openstack.mycloud.com:5000</a></div><div>auth_url = <a href="http://openstack.mycloud.com:35357">http://openstack.mycloud.com:35357</a></div><div>memcached_servers = <a href="http://openstack.mycloud.com:11211">openstack.mycloud.com:11211</a></div><div>auth_type = password</div><div>project_domain_name = Default</div><div>user_domain_name = Default</div><div>project_name = service</div><div>username = neutron</div><div>password = 8b229c60d8faf31da416</div><div>[matchmaker_redis]</div><div>[nova]</div><div>auth_url = <a href="http://openstack.mycloud.com:35357">http://openstack.mycloud.com:35357</a></div><div>auth_type = password</div><div>project_domain_name = Default</div><div>user_domain_name = Default</div><div>region_name = RegionOne</div><div>project_name = service</div><div>username = nova</div><div>password = 57227b66ed883b739e0b</div><div>[oslo_concurrency]</div><div>lock_path = /var/lib/neutron/tmp</div><div>[oslo_messaging_amqp]</div><div>[oslo_messaging_notifications]</div><div>[oslo_messaging_rabbit]</div><div>[oslo_messaging_zmq]</div><div>[oslo_middleware]</div><div>[oslo_policy]</div><div>[qos]</div><div>[quotas]</div><div>[ssl]</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div># grep -Ev '^#|^$' /etc/neutron/plugin.ini </div><div>[DEFAULT]</div><div>debug = true</div><div>[ml2]</div><div>type_drivers = flat,vlan,vxlan</div><div>tenant_network_types = vxlan</div><div>mechanism_drivers = linuxbridge,l2population</div><div>extension_drivers = port_security</div><div>[ml2_type_flat]</div><div>flat_networks = provider</div><div>[ml2_type_geneve]</div><div>[ml2_type_gre]</div><div>[ml2_type_vlan]</div><div>[ml2_type_vxlan]</div><div>vni_ranges = 1:1000</div><div>[securitygroup]</div><div>enable_ipset = True</div><div><br></div></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 20, 2017 at 2:49 PM, Vikash Kumar <span dir="ltr"><<a href="mailto:vikash.kumar@oneconvergence.com" target="_blank">vikash.kumar@oneconvergence.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Checkout on the bridge connected to tap ports.<br></div></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Thu, Jan 19, 2017 at 7:02 PM, Vimal Kumar <span dir="ltr"><<a href="mailto:vimal7370@gmail.com" target="_blank">vimal7370@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>Is the rules implemented in the iptables of the node (I am running all-in-one, LinuxBridge setup), or is it implemented in the iptables of a separate network namespace?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 19, 2017 at 1:27 PM, Melvin Hillsman <span dir="ltr"><<a href="mailto:mrhillsman@gmail.com" target="_blank">mrhillsman@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">If you are running an all-in-one/single node deployment, your security groups are implemented via iptables on that node. If you had a multi-node setup, security group rules would show up on the compute hosts.<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="m_6918833613442842988h5"><div><div class="m_6918833613442842988m_-8035404913316809074h5">On Thu, Jan 19, 2017 at 12:47 AM, Vimal Kumar <span dir="ltr"><<a href="mailto:vimal7370@gmail.com" target="_blank">vimal7370@gmail.com</a>></span> wrote:<br></div></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_6918833613442842988h5"><div><div class="m_6918833613442842988m_-8035404913316809074h5"><div dir="ltr"><div>







<p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">Hi! </p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">How can I troubleshoot issues related to security groups? It is probably getting implemented via iptables but where? In the host iptables, or inside network namespace, or inside instance itself? I am running a single-node Newton.</p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">







</p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">I am looking for a way to check whether the rules in my security group is actually being implemented or not.</p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">Thank you!</p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">Regards,</p><p class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838m_626761459836494854gmail-p1">Vimal</p></div></div>
<br></div></div></div></div>______________________________<wbr>_________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="m_6918833613442842988m_-8035404913316809074m_1266749451683132838gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Kind regards,<br><br>Melvin Hillsman<br>Ops Technical Lead<br>OpenStack Innovation Center<br><br><a href="mailto:mrhillsman@gmail.com" target="_blank">mrhillsman@gmail.com</a><br>phone: (210) 312-1267<br>mobile: (210) 413-1659<br><a href="http://osic.org" target="_blank">http://osic.org</a><br><br><span>Learner | Ideation | Belief | Responsibility | Command</span><br></div></div>
</div>
</blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br></div></div><div class="m_6918833613442842988gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><span style="font-family:trebuchet ms,sans-serif">Regards,<br></span></div><span style="font-family:trebuchet ms,sans-serif">Vikash</span><br></div></div>
</div>
</blockquote></div><br></div>