每一个包都会匹配 rule 策略，而每一个 rule 策略会有一个 action，触发了其中一个 rule 就不会触发另外一个 rule，但如果要触发的 rule 放在最后面，那么可以想象，包过滤的效率就会大大降低，所以设计策略的时候要尽量将常用的策略放在最前面，策略的顺序可以通过不断的调整 -A 和 -I 策略，甚至还有 return 的动作，...