ルールが一致した場合、ルールが評価されなくなることを読んで理解しました。しかし、次の例の私の経験は、これが事実ではないことを示すようです。これについての説明を探しています。
table netdev retag {
chain tagin {
type filter hook ingress devices = $lan priority -149; policy accept;
ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 ip dscp set af21 counter;
ip saddr 10.0.1.0/24 ip daddr 10.0.2.0/24 ip dscp set af31 counter;
}
}
上記の説明がtrueの場合、「nft list Ruleset」は最初のルールのヒット数を示し、2番目のルールのヒット率0を表示する必要があります。最初のルールは常に2番目のルールの前に一致するためです。しかし、両方のヒットをチェックしてください。ここで愚かなことを見逃していますか?
答え1
accept, drop, reject
追加のルール処理をブロックするなどの特定のタスク。
counter, log
タスクの実行や次のルールの継続などの他のタスクです。
accept
わずかに変更されたこの例では、追加の評価を防ぐための最初のルールを追加しました。
table netdev retag {
chain tagin {
type filter hook ingress devices = $lan priority -149; policy accept;
ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 ip dscp set af21 counter accept;
ip saddr 10.0.1.0/24 ip daddr 10.0.2.0/24 ip dscp set af31 counter;
}
}