<div dir="ltr">Hello,<div>I have read this interesting blog post</div><div><a href="https://www.ovirt.org/blog/2016/12/extension-iptables-rules-oVirt-hosts/">https://www.ovirt.org/blog/2016/12/extension-iptables-rules-oVirt-hosts/</a><br></div><div><br></div><div>In my case, to allow incoming connections from Nagios server to connect to Nagios nrpe daemon installed on hosts I have run</div><div><br></div><div><div>[root@ovmgr1 ~]# engine-config --set IPTablesConfigSiteCustom=&#39;</div><div>&gt; -A INPUT -p tcp --dport 5666 -s <a href="http://10.4.5.99/32">10.4.5.99/32</a> -m comment --comment &quot;Nagios NRPE daemon&quot; -j ACCEPT</div><div>&gt; &#39;</div><div>[root@ovmgr1 ~]# </div></div><div><br></div><div>and </div><div><br></div><div>systemctl restart ovirt-engine</div><div><br></div><div><br></div><div>BTW: the link above misses the final &#39; apex at the end of the similar command in the given example</div><div><br></div><div>On my oVirt running host (CentOS 7.4) in the mean time I have run</div><div><br></div><div><div>[g.cecchi@ov300 ~]$ sudo iptables -I INPUT 16 -p tcp --dport 5666 -s <a href="http://10.4.5.99/32">10.4.5.99/32</a> -m comment --comment &quot;Nagios NRPE daemon&quot; -j ACCEPT</div></div><div><br></div><div>In fact the current &quot;reject-with icmp-host-prohibited&quot; was line 16 and I have inserted it right before.</div><div><br></div><div>So far so good.</div><div><br></div><div>I have a doubt if, in case of host put into maintenance and then reactivated, or rebooted, the rule will remain.</div><div>Or do I have anyway to put any line in any file on host to set it persistently?</div><div><br></div><div>I wouldn&#39;t like to go and reinstall it only to statically set a new iptables rule.</div><div><br></div><div>Thanks,</div><div>Gianluca</div></div>