<div dir="ltr"><div><div><div>1) Do we actually need iptables for any reason that isn&#39;t a legacy consideration? <br><br></div>2 &amp; 3) I am in favor of treating custom services as a requirement and plan accordingly. Many (most, even) of the services are already provided by either firewalld itself (e.g. vdsm, libvirt) or the 3rd party packages (e.g. gluster). Some are missing (I&#39;ve recently created a pull request for ovirt-imageio to firewalld, for example) and I hope we&#39;ll be able to get all the services to be statically provided (by either firewalld or the relevant 3rd party packages).<br><br>Ideally I think we&#39;d like use statically provided services, and provide the capability to provide additional services (I&#39;m not a fan of the current methodology of converting strings into xmls). I don&#39;t think we&#39;d want to limit usage to just statically provided services. (2)<br><br></div><div>As previously stated, I don&#39;t see a technical reason to keep iptables under consideration. (3)<br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 26, 2017 at 2:57 PM, Yedidyah Bar David <span dir="ltr">&lt;<a href="mailto:didi@redhat.com" target="_blank">didi@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_-7992322381226665045gmail-"></span><br>
1. Do we want to support in some version X both iptables and firewalld, or<br>
is it ok to stop support for iptables and support only firewalld without<br>
overlap? If so, do we handle upgrades, and how?<br>
<br>
2. Do we want to support custom firewalld xml to be configured on the<br>
host by us? Or is it ok to only support choosing among existing services,<br>
which will need to be added to the host using other means (packaged by<br>
firewalld, packaged by 3rd parties, added manually by users)?<br>
<br>
3. Opposite of (2.): Do we want to support firewalld services that are<br>
added to the host using other means (see there)? Obviously we do, but:<br>
If we do, do we still want to support also iptables (see (1.))? And if<br>
so, what do we want to then happen?<br>
<br>
(2.) and (3.) are not conflicting, each needs its own answer.<br>
<br><div class="gmail-m_-7992322381226665045gmail-HOEnZb"><div class="gmail-m_-7992322381226665045gmail-h5">
<br>
</div></div><span class="gmail-m_-7992322381226665045gmail-HOEnZb"><font color="#888888">--<br>
Didi<br>
</font></span></blockquote></div><br></div></div></div>