====== Еще по теме ======

  - [[.:nat|Создание NAT]]

====== Просмотр и добавление правил ======

===== Вывод списка правил =====

Просмотр правил произодится командой:

<code bash>
nft list ruleset
</code>

===== Вывод значений счетчиков =====

Просмотр счетчиков:

<code bash>
nft list counters
</code>

===== Добавление правил через оболочку =====

Добавление правила:

<code bash>
nft add rule <table_name> <chain_name> <rule...>
</code>

===== Удаление правил из цепочек =====

Изначально следует узнать, какие номера имеют правила в цепочках следующей командой:

<code bash>
nft --handle list ruleset
</code>

После, как номер удаляемого правила стал нам известен, можно произвести удаление путем выполнения следующей команды:

<code bash>
nft delete rule <table_name> <chain_name> handle <handle_num>
</code>

===== Загрузка правил из конфигурационного файла =====

Nftables имеет возможность загрузки правил из конфигурационного файла со своим отдельным синтаксисом:

<code bash>
nft -f <file_of_rules>
</code>

====== Написание правил в конфигурационный файл ======

{{ nf_hooks.png?512 | Схема работы хуков и типов в Nftables}}

Подробно описано в официальной [[https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes|Wiki]]

===== Шаблон простого сетевого экрана для IPv4 =====

<code nftables nftables.conf>
flush ruleset

table ip firewall4 {
    counter test {
    }

    chain input {
        type filter hook input priority 0; policy drop;

        ct state established,related accept
        icmp type echo-request accept

        iifname lo accept

        ip saddr 192.168.0.0/24 \
            tcp dport 22 \
            accept \
            counter name test \
            comment "Allow connect to SSH server from local network"
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }
}
</code>