<font face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size="2"><div><br></div><font color="#990099">-----Matthias Bolte <a class="moz-txt-link-rfc2396E" href="mailto:matthias.bolte@googlemail.com"><matthias.bolte@googlemail.com></a> wrote: -----<br></font><br>><br>>Well, you miss the point that nwfilters is meant as a general<br>>firewall<br>>interface. ebtables/iptables just happens to be an implementation of<br>>this interface. Using ebtables/iptables specific shell scripts would<br>>replace the generic interface with something specific to<br>>ebtables/iptables.<br><br>           No, I just don't agree with it. I think an administrator on OS "X"<br>is already familiar with the firewall capabilities on his/her OS and so having<br>a new, less-capable abstraction instead of the firewall s/he already knows<br>is not a benefit. If these were instead hooks in libvirt that called sample scripts<br>per-OS, administrators could easily do whatever they want to do when an<br>interface is brought up, brought down, or migrated. They could then also<br>make full use of their firewall capabilities and customize completely as<br>needed.<br><br>                                                                      +-DLS<br><br><br></font>