V PPP profilu přímo určuji in/out filtr chain, který pro dané připojení platí. Takže pro to, co potřebuji specilně filtrovat, si udělám spešl profil, ten nasměruji na připravený filtr řetězec a je to. Když se tunel nahodí, tak se přidá dynamické pravidlo pro daný dynamický interface dělající jump na to sadu zadanou v profilu. Pravidlo se dynamicky přidá do ppp chainu, takže je třeba mít aktivní obecný jump v input/forward filteru na chain ppp, do něj dynimicky se vloží jump pro daný iface na předdefinovaný chain profilu.
Nebo jde obdobně dynamicky přidat do address nebo interface listu.
Je zmíněn tunel od CAPs, takže tunel z APčka na CAPsMAN. Tam to jde udělat přes interface list, pro dané APčko je třeba definovat datapath, v ní uvedu interface list do kterého se dynamicky přiřadí ten tunel, když je aktivní a firewall si udělám na daný intefacelist.