<html>
    <head>
      <base href="https://bugzilla.netfilter.org/" />
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - ip6_tables connmark or connlabel never matches"
   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1128#c3">Comment # 3</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - ip6_tables connmark or connlabel never matches"
   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1128">bug 1128</a>
              from <span class="vcard"><a class="email" href="mailto:jimc@jfcarter.net" title="Jim Carter <jimc@jfcarter.net>"> <span class="fn">Jim Carter</span></a>
</span></b>
        <pre>Thank you for the quick and clear explanation.  The workaround works in
the complete firewall ruleset (if you put it in the right place).  

I saw your blog post on nftables (2016-10-28)
<a href="https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/">https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/</a>
I look forward to using the new framework; it looks a lot cleaner than
what we have now.  But my firewall uses both the IPSec policy match and
TCPMSS clamping for tunnels, so adoption can't be immediate.  

Thanks to you guys for your work on netfilter.  It's a key component of
defense in depth, which in today's political climate is particularly 
necessary.</pre>
        </div>
      </p>
      <hr>
      <span>You are receiving this mail because:</span>
      
      <ul>
          <li>You are watching all bug changes.</li>
      </ul>
    </body>
</html>