hi,all:<div>          I am confued about how security  rules works ,i read the  /nova/virt/libvirt/firewall.py  and /nova/network/linux_net.py ,</div><div>my understanding is when create or change a  security  rule ,the process is as below.</div>

<div>reuqest to  nova osapi->update db  for the rule->call method  trigger_security_group_rules_refresh()->rpc.cast to all reletave compute node.</div><div>->call refresh_security_group_rules(),it seems that refresh_security_group_rules get the rule from the db and use libvirt to define the rules.</div>

<div>but how  iptables are invoked to create rules  "like nova-compute-inst-22".</div><div><br></div><div>anther question is  libvirt defines  nova-base-filter which allow any packets out and drop all packets  in ,but it does not used by the instance nwfilter.</div>

<div>the instance nwfilter only has no-mac-spoofing ,no-arp-spoofing,no-ip-spoofing ,and allow-dhcp-server filter.</div><div><br></div><div>if I misunderstand some thing ,please correct me ,thks .</div>