<html>

    <head>

      <base href="https://bugzilla.netfilter.org/" />

    </head>

    <body><span class="vcard"><a class="email" href="mailto:timo@tiwe.de" title="Timo Weingärtner <timo@tiwe.de>"> <span class="fn">Timo Weingärtner</span></a>

</span> changed

              <a class="bz_bug_link 

          bz_status_NEW "

   title="NEW - Rules in first chain same hook ignored if second chain has policy drop"

   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1305">bug 1305</a>

          <br>

             <table border="1" cellspacing="0" cellpadding="8">

          <tr>

            <th>What</th>

            <th>Removed</th>

            <th>Added</th>

          </tr>

         <tr>

           <td style="text-align:right;">CC</td>

           <td>

           </td>

           <td>timo@tiwe.de

           </td>

         </tr></table>

      <p>

        <div>

            <b><a class="bz_bug_link 

          bz_status_NEW "

   title="NEW - Rules in first chain same hook ignored if second chain has policy drop"

   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1305#c8">Comment # 8</a>

              on <a class="bz_bug_link 

          bz_status_NEW "

   title="NEW - Rules in first chain same hook ignored if second chain has policy drop"

   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1305">bug 1305</a>

              from <span class="vcard"><a class="email" href="mailto:timo@tiwe.de" title="Timo Weingärtner <timo@tiwe.de>"> <span class="fn">Timo Weingärtner</span></a>

</span></b>

        <pre>You can have this quick-accept and delayed-drop behaviour if you create only

one base chain and branch off to other chains from there (the same worked with

classic iptables):

table inet filter {

  chain forward {

    type filter hook forward priority filter

    ct state established accept

    iifname "internal" accept

    iifname "world" tcp dport ssh jump ssh-in

    iifname "world" tcp dport https jump https-in

    # this could be policy, but I like to make it explicit:

    drop

  }

  chain ssh-in {

    ip6 daddr 2001:db8::2a accept

    ip6 daddr 2001:db8::539 accept

    ip daddr 192.0.2.42 accept

  }

  chain https-in {

    ip6 daddr 2001:db8::1267 accept

  }

}

If you want to carry complex decisions made earlier to other base chains you

can use a mark.

Maybe I misunderstand your goal or use case? Why do you want to have separate

base chains if you do not want them to independently drop a packet?</pre>

        </div>

      </p>

      <hr>

      <span>You are receiving this mail because:</span>

      <ul>

          <li>You are watching all bug changes.</li>

      </ul>

    </body>

</html>