규칙이 일치하면 더 이상 규칙이 평가되지 않는다는 점을 읽고 이해했습니다. 그러나 다음 예에 대한 나의 경험은 이것이 사실이 아님을 나타내는 것 같습니다. 이에 대한 설명을 찾고 있습니다.
table netdev retag {
chain tagin {
type filter hook ingress devices = $lan priority -149; policy accept;
ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 ip dscp set af21 counter;
ip saddr 10.0.1.0/24 ip daddr 10.0.2.0/24 ip dscp set af31 counter;
}
}
위의 설명이 true인 경우 "nft list Ruleset"은 첫 번째 규칙에 대한 적중 횟수를 표시하고 두 번째 규칙에 대한 적중률 0을 표시해야 합니다. 첫 번째 규칙은 항상 두 번째 규칙보다 먼저 일치하기 때문입니다. 그러나 두 가지 모두에 대한 히트를 확인하십시오. 여기서 어리석은 것을 놓치고 있습니까?
답변1
accept, drop, reject추가 규칙 처리를 차단하는 등의 특정 작업 .
counter, log작업 수행 및 다음 규칙 계속 등의 기타 작업입니다 .
accept약간 수정된 이 예에서는 추가 평가를 방지하는 첫 번째 규칙을 추가했습니다 .
table netdev retag {
chain tagin {
type filter hook ingress devices = $lan priority -149; policy accept;
ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 ip dscp set af21 counter accept;
ip saddr 10.0.1.0/24 ip daddr 10.0.2.0/24 ip dscp set af31 counter;
}
}