Estou usando o iptables mangle para marcar o tráfego com diferentes valores de DSCP. Gostaria de confirmar a ordem em que as regras sobrepostas serão aplicadas. Eu assumi que a lógica seria a mesma que com o iptables geralmente: a primeira regra de correspondência na cadeia seria aplicada. Mas, na verdade, parece ser o contrário. Por exemplo, com as seguintes regras:
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DSCP icmp -- anywhere anywhere DSCP set 0x14
DSCP all -- anywhere anywhere DSCP set 0x0f
Eu assumi que os pacotes ICMP seriam marcados com 0x14, mas eles são de fato marcados com 0x0f. Posso confiar que isso seja sempre o caso? Que a última regra de correspondência na cadeia será aplicada em vez da última? Não consegui encontrar documentação sobre isso em nenhum lugar.
Se bem me lembro, o alvo DSCP na tabela mangle não interrompe o processamento de regras (ao contrário dos alvos ACCEPT / REJECT / DROP). Portanto, no seu caso, o valor de DSCP é definido como 0x14 para um pacote ICMP e, em seguida, sobrescrito com 0x0f na próxima regra (como também corresponde).
Eu sugeriria ordenar as regras do menos ao mais específico, para que as mais específicas sejam aplicadas por último.