<div dir="ltr">Not very hard ? please enlighten me ;-)<div>I'm _really_ struggling, mainly because I'm a neophyte in OpenVSwitch and Flow</div><div><br></div><div>the only thing I want is block outgoing dhcp{4,6} and routing advertisements coming out of VM's</div>
<div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 7, 2013 at 9:05 PM, Vasiliy Tolstov <span dir="ltr"><<a href="mailto:v.tolstov@selfip.ru" target="_blank">v.tolstov@selfip.ru</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Why not use ovs-ofctl add-flow for this? Translate iptables rules to<br>
openflow flows not very hard....<br>
<br>
2013/11/7 Laine Stump <<a href="mailto:laine@laine.org">laine@laine.org</a>>:<br>
<div class="HOEnZb"><div class="h5">> On 11/07/2013 06:04 AM, Daniel P. Berrange wrote:<br>
>> On Wed, Nov 06, 2013 at 02:44:57PM +0100, Jan De Landtsheer wrote:<br>
>>> Hello,<br>
>>> I _was_ trying to set up an nwfilter for our networking set-up with VXLAN<br>
>>> and openvswitch, where we use VXLAN as carrier for separate networks<br>
>>> (unlike OpenStack gre-tunnels).<br>
>>><br>
>>> But with OVS, ebtables do not work, and the basic setup of nwfilter rules<br>
>>> are based on this premise... or so I understand...<br>
>>><br>
>>> Now..<br>
>>> Is there a way to define nwfilter rules _without_ ebtables ?<br>
>>><br>
>>> What I would like to do is quite simple (block out dhcp{4,6} services from<br>
>>> VM's, and ipv6 router advertisements )<br>
>> There's no support for nwfilter at all when using openvswitch, due to<br>
>> the kernel limitations you mention. The (disgusting) way openstack deals<br>
>> with this is to create a traditional bridge  per vm so you have<br>
>><br>
>><br>
>>    phys nic <-> openvswitch<br>
>>                           \--->  vm bridge <-> vm tap dev<br>
>>                           \--->  vm bridge <-> vm tap dev<br>
>>                           \--->  vm bridge <-> vm tap dev<br>
><br>
> It would be an "interesting exercise" to see if it was possible to write<br>
> a backend for nwfilter that used OVS flows or whatever it is they have.<br>
> My suspicion is that the configuration model used by nwfilter may be too<br>
> low level and (ip|eb)tables-specific to be mapped into a different<br>
> backend implementation, so it could require some new higher level<br>
> elements that would then need to be implemented for the (ip|eb)tables<br>
> backend as well (and the original config elements deprecated).<br>
><br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> libvir-list mailing list<br>
> <a href="mailto:libvir-list@redhat.com">libvir-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/libvir-list" target="_blank">https://www.redhat.com/mailman/listinfo/libvir-list</a><br>
<br>
<br>
<br>
--<br>
Vasiliy Tolstov,<br>
e-mail: <a href="mailto:v.tolstov@selfip.ru">v.tolstov@selfip.ru</a><br>
jabber: <a href="mailto:vase@selfip.ru">vase@selfip.ru</a><br>
</font></span></blockquote></div><br></div>