<div dir="ltr">yeah, I know... that's not gonna happen any time soon in my setup... tested OpenStack, and all is 'working' until it doesn't. Then try to find out why...<div>OTOH I like openvswitch very much, and not only for performance.</div>
<div><br></div><div>I'll define a hooks/qemu then. Had one running with some mangle marks for TC</div><div><br></div><div>Aight,</div><div>Thanks</div><div><br></div><div>Jan</div></div><div class="gmail_extra"><br><br>
<div class="gmail_quote">On Thu, Nov 7, 2013 at 5:04 AM, Daniel P. Berrange <span dir="ltr"><<a href="mailto:berrange@redhat.com" target="_blank">berrange@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Wed, Nov 06, 2013 at 02:44:57PM +0100, Jan De Landtsheer wrote:<br>
> Hello,<br>
> I _was_ trying to set up an nwfilter for our networking set-up with VXLAN<br>
> and openvswitch, where we use VXLAN as carrier for separate networks<br>
> (unlike OpenStack gre-tunnels).<br>
><br>
> But with OVS, ebtables do not work, and the basic setup of nwfilter rules<br>
> are based on this premise... or so I understand...<br>
><br>
> Now..<br>
> Is there a way to define nwfilter rules _without_ ebtables ?<br>
><br>
> What I would like to do is quite simple (block out dhcp{4,6} services from<br>
> VM's, and ipv6 router advertisements )<br>
<br>
</div></div>There's no support for nwfilter at all when using openvswitch, due to<br>
the kernel limitations you mention. The (disgusting) way openstack deals<br>
with this is to create a traditional bridge  per vm so you have<br>
<br>
<br>
   phys nic <-> openvswitch<br>
                          \--->  vm bridge <-> vm tap dev<br>
                          \--->  vm bridge <-> vm tap dev<br>
                          \--->  vm bridge <-> vm tap dev<br>
<span class="HOEnZb"><font color="#888888"><br>
Daniel<br>
--<br>
|: <a href="http://berrange.com" target="_blank">http://berrange.com</a>      -o-    <a href="http://www.flickr.com/photos/dberrange/" target="_blank">http://www.flickr.com/photos/dberrange/</a> :|<br>
|: <a href="http://libvirt.org" target="_blank">http://libvirt.org</a>              -o-             <a href="http://virt-manager.org" target="_blank">http://virt-manager.org</a> :|<br>
|: <a href="http://autobuild.org" target="_blank">http://autobuild.org</a>       -o-         <a href="http://search.cpan.org/~danberr/" target="_blank">http://search.cpan.org/~danberr/</a> :|<br>
|: <a href="http://entangle-photo.org" target="_blank">http://entangle-photo.org</a>       -o-       <a href="http://live.gnome.org/gtk-vnc" target="_blank">http://live.gnome.org/gtk-vnc</a> :|<br>
</font></span></blockquote></div><br></div>