https://gist.github.com/egernst/2c39c6125d916f8caa...
Note: If the matching rule number (3 for prerouting chain of raw table) is greater than the number of rules there, it means there wasn't a match for any of the rules and it is just returning to whomever called the chain.
https://stackoverflow.com/questions/41748330/how-t...
came to this question too and dit some testing: policy:5 seem to refer to the fictive last "rule" of your chain, where the policy is considered. so loonyuni's traced chain should have 4 explicit rules in it.
Иными словами, policy означает, что сработало policy (правило по-умолчанию для цепочки).
А policy:2 означает лишь то, что в цепочке было одно правило и policy оказалось последним и вторым. Если бы было четыре правила в цепочке, то где-нибудь в логе появилось бы policy:5.
