<br><tt><font size=2>"Daniel P. Berrange" <berrange@redhat.com>
wrote on 04/16/2010 07:09:12 AM:<br>
<br>
<br>
> Please respond to "Daniel P. Berrange"</font></tt>
<br><tt><font size=2>> <br>
> On Fri, Apr 16, 2010 at 06:33:50AM -0400, Stefan Berger wrote:<br>
> > Don't use state-matching in a drop rule.<br>
> > <br>
> > Signed-off-by: Stefan Berger <stefanb@us.ibm.com><br>
> > <br>
> > Index: libvirt-acl/src/nwfilter/nwfilter_ebiptables_driver.c<br>
> > ===================================================================<br>
> > --- libvirt-acl.orig/src/nwfilter/nwfilter_ebiptables_driver.c<br>
> > +++ libvirt-acl/src/nwfilter/nwfilter_ebiptables_driver.c<br>
> > @@ -1380,13 +1380,16 @@ _iptablesCreateRuleInstance(int directio<br>
> >          return 0;<br>
> >      }<br>
> >  <br>
> > -    if (match)<br>
> > -        virBufferVSprintf(&buf, "
%s", match);<br>
> > -<br>
> >      if (rule->action == VIR_NWFILTER_RULE_ACTION_ACCEPT)<br>
> >          target = accept_target;<br>
> > -    else<br>
> > +    else {<br>
> >          target = "DROP";<br>
> > +        match = NULL;<br>
> > +    }<br>
> > +<br>
> > +    if (match)<br>
> > +        virBufferVSprintf(&buf, "
%s", match);<br>
> > +<br>
> >  <br>
> >      virBufferVSprintf(&buf,<br>
> >                  
     " -j %s" CMD_DEF_POST CMD_SEPARATOR<br>
> > <br>
> <br>
> ACK</font></tt>
<br><tt><font size=2>> <br>
> Daniel<br>
</font></tt>
<br><tt><font size=2>Pushed.</font></tt>
<br>
<br><tt><font size=2>  Stefan</font></tt>
<br><tt><font size=2><br>
</font></tt>