nftable tạo thông báo không mong muốn trong nhật ký hệ thống

Tôi có quy tắc nftables sau: tiền tố nhật ký "Đầu ra [nftables] bị từ chối1: " ip Daddr 34.117.59.81 từ chối

trong syslog tôi có thể thấy thông báo: Đầu ra [nftables] bị từ chối1: IN= OUT=br0 SRC=10.10.10.1 DST=10.10.10.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=540 PROTO=ICMP TYPE=0 CODE=0 ID=2 SEQ= 60848

Bây giờ tôi tự hỏi làm thế nào nó có thể? Trong thông báo nhật ký hệ thống có DST=10.10.10.4, nhưng không nên sử dụng quy tắc cho địa chỉ đích đó.

Sẽ thật tuyệt nếu ai đó có thể giải thích hành vi này.

Thứ tự không thành vấn đề. Trong một quy tắc duy nhất, mỗi câu lệnh biểu thức/(không phải đầu cuối) được đánh giá lần lượt:

• nếu đúng, đánh giá tiếp tục biểu thức/câu lệnh tiếp theo trong quy tắc
• nếu sai, đánh giá kết thúc

Hầu hết các tuyên bố không đầu cuối là đúng (nghĩa là: tiếp tục đánh giá quy tắc). Dù sao đó là trường hợp của đăng nhập tuyên bố: nó luôn cho phép tiếp tục đánh giá trong quy tắc.

Một đăng nhập câu lệnh được đặt làm phần đầu tiên của quy tắc sẽ thực hiện vai trò của nó: tạo nhật ký. Không có bộ lọc trước nó (hoặc không nằm trong chuỗi (còn gọi là người dùng) thông thường được gọi từ quy tắc trước đó với bộ lọc đó) mọi thứ sẽ được ghi lại. Sau đó, đánh giá sẽ tiếp tục đến bộ lọc thực tế: ip chadr 34.117.59.81. Nếu điều này đánh giá đúng, Từ chối sẽ được thực hiện, nếu không thì không có gì xảy ra nữa trong quy tắc này (và quy tắc tiếp theo nếu có sẽ được đánh giá).

Cách khắc phục là luôn đặt đăng nhập bản tường trình sau đó điều kiện mà nó phải ghi lại và trước câu lệnh đầu cuối (điều này sẽ không cho phép các biểu thức/câu lệnh tiếp theo):

ip daddr 34.117.59.81 tiền tố nhật ký "Đầu ra [nftables] bị từ chối1: " từ chối