<font face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size="2"><div>Stefan,<br>             Can't you achieve the same thing by reserving an early block<br>of priorities (and a late one, for system stuff that should be done late)?<br>             If you use negative numbers, then you lose the capability of<br>ever extending priorities to interpret the negative number as "from the end"<br>as done in ebtables/iptables line numbers. I think that is more useful, and<br>having to do that outside of priorities would mean extra parsing and encoding<br>to get that effect.<br>             I also think that nwfilters ought to reflect the underlying filter<br>mechanisms as much as possible. Really, I'd prefer they were simply<br>parameterized shell scripts of ebtables/iptables commands run at significant<br>events (start-up, shutdown, migrate) instead of XML-encoded things. Then<br>the full feature sets of ebtables/iptables would be available "for free", instead<br>of requiring libvirt patches to, e.g., add "return/continue" or multiple chains.<br>             Barring that, at least I think what nwfilters provides should be a close<br>map to ebtables/iptables capabilities. Mapping line numbers into a wide range<br>of priorities is straightforward, but if you use negative numbers in an ordinary<br>sort, you can no longer use the sign as ebtables/iptables does. Because<br>you've limited the range, you could do something hacky with offsets (anything<br>below "-1000" is "from the end" or some such), but that's arcane.<br>            Using priorities in multiple places is very like programming in basic<br>and what both ebtables/iptables and nwfilters could use better I think would<br>be the capability to label rules by name and reference the label to identify the<br>rule location. Then you might, e.g., add a rule at "myrules + 5" and don't care<br>what particular priority/line number "myrules" is.<br><br>                                                                               +-DLS<br><br><br><br></div></font>