op搭virtual**服务器后导致防火墙规则失效问题

5453***

楼主n1刷f大的直刷op固件做主路由，内网有台设备会一直向外网发udp包，于是我在防火墙规则里限制了它，一开始限制地好好的，但后面就没效果了，任何添加的限制对外网发数据规则都没作用，我怀疑是防火墙的原因，于是花了一小时重新把linux的iptables复习了一遍 ，再看op里面的防火墙规则，最后发现问题就在这里



在forward链里有一条规则是允许通过来源为200.0的包（这个就是我的内网网段），这条规则是virtual**服务器新增的，目的是为了连进来的客户端可以支持nat转发，而且规则是在zone_lan_forward上面，我们在网络-防火墙里配置的转发规则在zone_lan_forward里面，导致所有内网往外发的包还没走到我配的规则就被设为accept了，所以限制没有生效，为了验证我把virtual**服务器关了这条规则里面的内容就没了，同时限制也生效了。所以解决方法就很容易了，只要把这条规则往下挪，挪动到zone_lan_forwad后面就行，这样起码包会走一遍我配置的规则，但问题来了，这条forwardding_rule是加载防火墙之后动态添加的，执行的时机比在网络-防火墙自定义规则还要晚，导致无论自定义了什么规则，启动完防火墙最后一定会在这条链第二个位置添加这个规则，导致不能生效。想问问大家是怎么解决这个问题的。