nftable создает неожиданное сообщение в системном журнале

У меня есть следующее правило nftables: префикс журнала "[nftables] вывод запрещен1:" ip ddr 34.117.59.81 отклонить

в системном журнале я вижу сообщение: [nftables] вывод запрещен1: IN= OUT=br0 SRC=10.10.10.1 DST=10.10.10.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=540 PROTO=ICMP TYPE=0 CODE=0 ID=2 SEQ= 60848

Теперь мне интересно, как это возможно? В сообщении системного журнала есть Летнее время = 10.10.10.4, но это правило не следует использовать для этого адреса назначения.

Было бы очень круто, если бы кто-нибудь мог объяснить такое поведение.

Порядок имеет значение. В одном правиле каждое выражение / (нетерминальный) оператор оценивается по очереди:

• если true, оценка переходит к следующему выражению/оператору в правиле
• если false, оценка заканчивается

Большинство нетерминальных утверждений верны (т. е. оценка правила продолжается). Во всяком случае, это касается журнал оператор: он всегда позволяет продолжить оценку в правиле.

А журнал оператор, размещенный в качестве первой части правила, будет выполнять свою роль: генерировать журналы. Без фильтра перед ним (или без нахождения в обычной (пользовательской) цепочке, вызванной из предыдущего правила с таким фильтром) все будет зарегистрировано. Затем оценка продолжится до фактического фильтра: IP-адрес 34.117.59.81. Если этот оценивает true, отклонять будет выполнено, иначе в этом правиле (и в следующем правиле, если оно оценивается) больше ничего не происходит.

Исправление состоит в том, чтобы всегда ставить журнал утверждение после условие, которое должно регистрироваться перед и перед оператором терминала (что не позволит дальнейшие выражения/операторы):

ip ddr 34.117.59.81 префикс журнала "[nftables] вывод Denied1: "отклонить