1. Создание NAT

Просмотр правил произодится командой:

nft list ruleset

Просмотр счетчиков:

nft list counters

Добавление правила:

nft add rule <table_name> <chain_name> <rule...>

Изначально следует узнать, какие номера имеют правила в цепочках следующей командой:

nft --handle list ruleset

После, как номер удаляемого правила стал нам известен, можно произвести удаление путем выполнения следующей команды:

nft delete rule <table_name> <chain_name> handle <handle_num>

Nftables имеет возможность загрузки правил из конфигурационного файла со своим отдельным синтаксисом:

nft -f <file_of_rules>

Подробно описано в официальной Wiki

nftables.conf

flush ruleset
 
table ip firewall4 {
    counter test {
    }
 
    chain input {
        type filter hook input priority 0; policy drop;
 
        ct state established,related accept
        icmp type echo-request accept
 
        iifname lo accept
 
        ip saddr 192.168.0.0/24 \
            tcp dport 22 \
            accept \
            counter name test \
            comment "Allow connect to SSH server from local network"
    }
 
    chain forward {
        type filter hook forward priority 0; policy drop;
    }
 
    chain output {
        type filter hook output priority 0; policy accept;
    }
}