FAQ: Mention conntrack capability for packet filtering.

author Han Zhou <zhouhan@gmail.com>

Fri, 28 Oct 2016 19:13:44 +0000 (12:13 -0700)

committer Ben Pfaff <blp@ovn.org>

Mon, 31 Oct 2016 20:38:37 +0000 (13:38 -0700)
author Han Zhou <zhouhan@gmail.com>
Fri, 28 Oct 2016 19:13:44 +0000 (12:13 -0700)
committer Ben Pfaff <blp@ovn.org>
Mon, 31 Oct 2016 20:38:37 +0000 (13:38 -0700)
diff --git a/FAQ.rst b/FAQ.rst

index de7aaf715d8191846d10491614486146c8507cb7..4ee4c2b80ab69e89e8c068986588ba130b70b2ee 100644 (file)
--- a/FAQ.rst
+++ b/FAQ.rst
@@ -886,7 +886,9 @@ Q: Open vSwitch does not seem to obey my packet filter rules.
      would add an IP address, as discussed elsewhere in the FAQ.)
  
      For simple filtering rules, it might be possible to achieve similar results
-    by installing appropriate OpenFlow flows instead.
+    by installing appropriate OpenFlow flows instead.  The OVS conntrack
+    feature (see the "ct" action in ovs-ofctl(8)) can implement a stateful
+    firewall.
  
      If the use of a particular packet filter setup is essential, Open vSwitch
      might not be the best choice for you.  On Linux, you might want to consider
author	Han Zhou <zhouhan@gmail.com>
	Fri, 28 Oct 2016 19:13:44 +0000 (12:13 -0700)
committer	Ben Pfaff <blp@ovn.org>
	Mon, 31 Oct 2016 20:38:37 +0000 (13:38 -0700)