当第一个封包进入 INPUT Chain 之后，Filter 机制会以这个封包的特性从 INPUT Chain 之内的第一条规则逐一向下匹配，假设封包的特征在第一条规则就被匹配到了那么这个封包的存活就应该由这条规则来决定，如果规则说将封包丢弃，那么封包当下就会被丢弃，不管下面的规则内容是什么都不重要。相反，当第一条规则说封包可以被接受，那么，这个封包就进入了 Local Process 的位置，当然，不管底下的规则内容是什么也都不重要，即优先匹配原则。

还存在一种情况需要加以讨论，假设封包的特征从 INPUT Chain 的第一条规则对比之后到最后一条规则也都没有匹配成功，封包能否进入到 Local Process 呢？

  不管Chain之内有多少规则，Default Policy 永远在每一个Chain低端且每一个Chain的 Default Policy 都独立存在。Default Policy 只有一种状态，不是允许就是拒绝，默认的 Default Policy 状态预设的是允许。