最近用iptables过滤运营商的302劫持时发现在filter表添加的过滤规则对回应包无效，经搜索，发现是openwrt为提高性能，默认将net.netfilter.nf_conntrack_skip_filter内核参数设置为了1，导致回应包不走filter表。

解决措施：修改/etc/sysctl.conf，将net.netfilter.nf_conntrack_skip_filter的值修改为0，运行sysctl -p重新加载配置文件后规则生效