<div dir="ltr"><div class="gmail_default" style="font-size:large">Hi, all!<br><br>For next nwfilter:<br><br><filter name='test' chain='root'><br>  <rule action='return' direction='out' priority='1'><br>    <tcp dstportstart='22' dstportend='22'/><br>  </rule><br></filter><br><br>I got next result:<br><br>-A FI-vmec437726363e0 -p tcp -m tcp --sport 22 -j RETURN<br>-A FO-vmec437726363e0 -p tcp -m tcp --dport 22 -j RETURN<br>-A HI-vmec437726363e0 -p tcp -m tcp --sport 22 -j RETURN<br>-A libvirt-host-in -m physdev --physdev-in vmec437726363e0 -g HI-vmec437726363e0<br>-A libvirt-in -m physdev --physdev-in vmec437726363e0 -g FI-vmec437726363e0<br>-A libvirt-in-post -m physdev --physdev-in vmec437726363e0 -j ACCEPT<br>-A libvirt-out -m physdev --physdev-out vmec437726363e0 --physdev-is-bridged -g FO-vmec437726363e0<br><br>It is not clear to me why the rule is added to FI-* chains. I guess this filter<br>is supposed to filter only outgoing traffic.<br></div><div class="gmail_default" style="font-size:large"><br></div><div class="gmail_default" style="font-size:large">I tested with libvirt-5.6.0 but AFAIU the behaviour in upstream is the same. Also looks</div><div class="gmail_default" style="font-size:large">like this behaviour exists for a long time so I doubted it is a bug.</div><div class="gmail_default" style="font-size:large"><br></div><div class="gmail_default" style="font-size:large">Nikolay</div></div>