판결 내용을 이해하는 데 어려움이 있습니다 nftables. 에서 man nft, 또는에서여기, "판결문"이라는 제목 바로 아래에 다음 내용이 있습니다.
수락 및 포기는 절대적인 판정입니다. 즉, 규칙 세트 평가가 즉시 종료됩니다.
그러나 다음 문장에서는(강조):
수락: 규칙 세트 평가를 종료하고 패킷을 수락합니다.나중에 다른 후크에 의해 패킷이 삭제될 수 있습니다.[...]
어쩔 수 없지만, 그 자체가 모순이 아닌가? 어느 것이 사실인가요? 규칙 세트 평가를 즉시 종료하시겠습니까 accept? 인용된 진술 중 하나만이 사실일 수도 있습니다.
accept저는 특히 Hooks 내의 명령문 동작에 관심이 있습니다 ingress.
답변1
예, iptables 및 nftables에 대한 최종 승인이 이루어졌습니다.
하지만...현재 테이블에서만 작동합니다.
https://www.frozentux.net/iptables-tutorial/chunkyhtml/c3965.html
패킷의 일치 사양이 완전히 충족되고 ACCEPT를 대상으로 지정하면 규칙이 수락되고현재 체인이나 동일한 테이블의 다른 체인을 계속해서 순회하지 마세요.. 그러나 한 체인에서 허용된 패킷은 여전히 다른 테이블의 체인을 통과할 수 있으며 여전히 그곳에서 삭제될 수 있습니다.
nftables도 같은 논리를 가지고 있습니다.
답변2
나생각하다이것이 의미하는 바는 accept특정 후크가 이를 종료하지만 다른 후크가 이를 차단할 수 있다는 것입니다. 예를 들어,이 그림을 보세요,만약에프론트 후크응 accept, 그런데 그러면포스트 라우팅 후크예 drop, 이것은 "또 다른 후크"이므로 나중에 참조할 수 있을 것입니다.
(저만의 경험이라 추측 ipchains/iptables이지만 비슷해 보이고 IIRC도 비슷한 방식으로 작동합니다.)
답변3
어쩌면 처음에 다음 정보를 놓쳤을 수도 있고, netfilter 사람들이 문서를 업데이트했을 수도 있습니다. 그러나 다른 답변을 고려하더라도 추가할 가치가 있다고 생각했습니다. ~에서문서(강조):
패킷이 승인되고 다른 체인이 있는 경우동일한 후크 유형과 더 낮은 우선순위를 가진 패킷은 다른 체인을 통과합니다.그러므로,판결을 받아들이다- 규칙 또는 기본 체인 정책을 통해 -최종적일 필요는 없습니다.하지만,이는 삭제 결정이 내려지는 패킷의 경우에는 해당되지 않습니다. 대신 삭제는 추가 규칙이나 체인을 평가하지 않고 즉시 적용됩니다.
나에게는 이것이 아무런 질문도 남기지 않습니다. 추가 설명이 필요할 수 있는 유일한 방법은 "우선순위"라는 단어가 약간 이상하게 사용된 것입니다.
우선순위가 낮은 숫자(예: -400, -300)는더 높은우선순위는 우선순위 번호가 낮은 체인/후크가 먼저 평가된다는 의미입니다. 따라서 이 후크는 다른 후크가 패킷을 처리하는 것을 방지하는 것을 포함하여 패킷에 대해 모든 작업을 수행할 수 있습니다. 자연어에서는 이것을 최우선 순위라고 부를 수도 있습니다(그러나 제가 원어민이 아니기 때문에 완전히 틀릴 수도 있다는 점에 유의하십시오).
하지만 우선순위가 더 높은 숫자(예: 300 대 -300)는 다음을 의미할 수도 있습니다.더 높은우선순위는 우선순위 번호가 높은 체인/후크가 우선순위 번호가 낮은 체인/후크의 "수락" 결정을 무시할 수 있음을 의미합니다.
이것을 알아내는 데 시간이 걸렸습니다. 이런 경우에는 "우선순위"라는 단어를 삭제하고 "평가 시간"이나 원어민이 생각할 수 있는 더 나은 단어로 바꾸는 것이 좋습니다.