Сначала соответствуйте победам и обрабатывающим остановкам, если цель является "завершающейся" целью; они включают DROP
, ACCEPT
, DNAT
, и так далее. Они - цели, которые делают определение о заключительном расположении пакета; в высказывании нет никакого смысла -j REJECT
если это может быть переопределено три строки позже с -j OH-SORRY-I-DIDNT-MEAN-IT
.
Сначала победы соответствия и обработка не останавливаются, если цель "не завершается"; они включают LOG
, ULOG
, и отправка пакета к пользовательской цепочке. В том последнем случае обработка продолжается через правила в той цепочке, и если ни один не соответствует завершающейся цели, пакет "выпадает нижняя часть цепочки" и возвращается к правилу в цепочке вызова после той, которая отправила его в пользовательскую цепочку.
Это ясно? Первые победы соответствия всегда применяются, который является, почему порядок правил важен.
В Unbuntu 13.10 некоторые сообщили об этой ошибке и исправили ее, добавив:
seccomp_sandbox = NO
в vsftpd.conf
Похоже, это потому, что :
В vsftpd версии 3.0 была введена новая функция, похоже, что это вызвало проблемы у некоторых людей. Эта особенность - это песочница seccomp, и ее можно отключить
Дополнительная информация: