<br><tt><font size=2>Daniel Veillard <veillard@redhat.com> wrote
on 04/07/2010 03:55:19 AM:<br>
<br>
<br>
> On Tue, Apr 06, 2010 at 03:55:26PM -0400, Stefan Berger wrote:<br>
> > The attached patch fixes a problem due to the mac match in iptables
only<br>
> > supporting --mac-source and no --mac-destination, thus it not
being<br>
> > symmetric. Therefore a rule like this one<br>
> > <br>
> > <rule action='drop' direction='out'><br>
> >   <all match='no' srcmacaddr='$MAC'/><br>
> > </rule><br>
> > <br>
> > should only have the MAC match on traffic leaving the VM and
not test<br>
> > for the same source MAC address on traffic that the VM receives.<br>
> > <br>
> > Signed-off-by: Stefan Berger <stefanb@us.ibm.com><br>
> > <br>
> <br>
>   Okay, I had to check _iptablesCreateRuleInstance() source to
find out<br>
> it's a giant switch, then patch makes sense, looks low risk and well<br>
> contained,<br>
> <br>
> ACK,<br>
> </font></tt>
<br><tt><font size=2>Thanks. Pushed.</font></tt>
<br>
<br><tt><font size=2>   Stefan</font></tt>
<br><tt><font size=2><br>
> Daniel<br>
> <br>
> -- <br>
> Daniel Veillard      | libxml Gnome XML XSLT toolkit
 </font></tt><a href=http://xmlsoft.org/><tt><font size=2>http://xmlsoft.org/</font></tt></a><tt><font size=2><br>
> daniel@veillard.com  | Rpmfind RPM search engine </font></tt><a href=http://rpmfind.net/><tt><font size=2>http://rpmfind.net/</font></tt></a><tt><font size=2><br>
> </font></tt><a href=http://veillard.com/><tt><font size=2>http://veillard.com/</font></tt></a><tt><font size=2>
| virtualization library  </font></tt><a href=http://libvirt.org/><tt><font size=2>http://libvirt.org/</font></tt></a><tt><font size=2><br>
</font></tt>