В ядре Linux есть возможность маршрутизации трафика с помощью nftables, iptables и ipvs. Я собрал здесь 3 связанных вопроса, чтобы в целом задать более широкий вопрос о том, как определяется приоритет в отношении правил маршрутизации и брандмауэра ядра:
Для контекста, я недавно заметил, что некоторые правила iptables на системе, где был установлен NFT, не работали так, как ожидалось, и, несмотря на то, что в сети есть отличные диаграммы того, как цепочки iptables по умолчанию упорядочены относительно их резидентных таблиц, мне стало любопытно, как можно рассуждать об этих цепочках и их обходе при наличии других правил из NFT, IPVS, eBPF и так далее.
Это интерфейс командной строки для управления те же правила, хранящиеся в ядре. Любой приоритет является указанным или порядком ввода.