接受和丢弃数据包

丢弃数据包

你可以使用 drop 选项丢弃数据包。注意 drop 是终止行为，你不能在它之后添加任何其它行为。

nft add rule filter output drop

测试这条命令时请注意，你会丢失所有网络连接 :-)。

接受数据包

一个接受所有通信的简单规则是：

nft add rule filter output accept

你可以向那个规则添加计数器：

nft add rule filter output counter accept

然后你可以看到所有的通信都会被接受：

nft list table filter
table ip filter {
    chain output {
         type filter hook output priority 0;
         counter packets 1 bytes 84 accept
    }
}