<html><body>
<p><tt>Stefan Berger/Watson/IBM wrote on 05/11/2011 12:32:41 PM:</tt><br>
<tt>> <br>
> So now this command puts the default policy of every ebtables chain <br>
> to end with an implicit drop. What if I had previously</tt><br>
<tt>> created a filter assuming an implicit accept, which is the current <br>
> behavior? Now that filter wouldn't work correctly anymore</tt><br>
<tt>> since my packets all get droped. Is this change really necessary?</tt><br>
<br>
<tt>      Well, all of the generated chains need this (to support</tt><br>
<tt>multiple address matching). This can, of course, be done by</tt><br>
<tt>adding a "-j DROP" at the end of every chain. But since it is</tt><br>
<tt>all of them, I thought changing the default and having fewer</tt><br>
<tt>rules made a lot more sense.</tt><br>
<tt>      So, it isn't a requirement, but any modifications to these</tt><br>
<tt>chains will need to account for either a DROP policy explicitly</tt><br>
<tt>or a "-j DROP" at the end, if it's modifying an existing filter.</tt><br>
<tt>      I don't see any way around custom filters needing to be</tt><br>
<tt>reviewed and adapted to any change in the examples set. Independent</tt><br>
<tt>filters can explicitly use "-j DROP" or "-j ACCEPT" and not rely</tt><br>
<tt>on the policy, but insertions in existing filters can't insert</tt><br>
<tt>after a "-j DROP" and still work, either. With the changed policy,</tt><br>
<tt>they can append rules and possibly still work without modification.</tt><br>
<br>
<tt>                                                              +-DLS</tt><br>
</body></html>