nftable produce un mesaj neașteptat în syslog

Am următoarea regulă nftables: prefix de jurnal „[nftables] output denied1: „ ip daddr 34.117.59.81 respinge

în syslog pot vedea mesajul: [nftables] output denied1: IN= OUT=br0 SRC=10.10.10.1 DST=10.10.10.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=540 PROTO=ICMP TYPE=0 CODE=0 ID=2 SEQ= 60848

Acum mă întreb cum este posibil? În mesajul syslog există DST=10.10.10.4, dar regula nu ar trebui folosită pentru acea adresă de destinație.

Ar fi foarte tare, dacă cineva poate explica acest comportament.

Ordinea contează. Într-o singură regulă, fiecare expresie / instrucțiune (non-terminală) este evaluată pe rând:

• dacă este adevărat, evaluarea continuă până la următoarea expresie/enunț din regulă
• dacă este fals, evaluarea se încheie

Majoritatea afirmațiilor non-terminale sunt adevărate (adică: evaluarea regulilor continuă). Oricum, acesta este cazul pentru Buturuga afirmație: permite întotdeauna continuarea evaluării în regulă.

A Buturuga instrucțiunea plasată ca primă parte a regulii își va îndeplini rolul: genera jurnale. Fără filtru înaintea acestuia (sau fără a fi într-un lanț obișnuit (aka utilizator) numit dintr-o regulă anterioară cu un astfel de filtru) Tot vor fi înregistrate. Apoi evaluarea va continua la filtrul real: ip daddr 34.117.59.81. Dacă acesta evaluează adevărat, respinge se va face, altfel nu se mai întâmplă nimic în această regulă (și regula următoare dacă este evaluată).

Soluția este să puneți întotdeauna Buturuga afirmație după condiția despre care ar trebui să se conecteze și înainte de instrucțiunea terminal (care nu va permite alte expresii/instrucțiuni):

ip daddr 34.117.59.81 jurnal prefix „[nftables] output denied1: „ respingere