nftables/trunk/nftables.conf

   1 #!/usr/bin/nft -f
   2 # vim:set ts=2 sw=2 et:
   3
   4 # IPv4/IPv6 Simple & Safe firewall ruleset.
   5 # More examples in /usr/share/nftables/ and /usr/share/doc/nftables/examples/.
   6
   7 table inet filter
   8 delete table inet filter
   9 table inet filter {
  10   chain input {
  11     type filter hook input priority filter
  12     policy drop
  13
  14     ct state invalid drop comment "early drop of invalid connections"
  15     ct state {established, related} accept comment "allow tracked connections"
  16     iifname lo accept comment "allow from loopback"
  17     ip protocol icmp accept comment "allow icmp"
  18     meta l4proto ipv6-icmp accept comment "allow icmp v6"
  19     tcp dport ssh accept comment "allow sshd"
  20     pkttype host limit rate 5/second counter reject with icmpx type admin-prohibited
  21     counter
  22   }
  23   chain forward {
  24     type filter hook forward priority filter
  25     policy drop
  26   }
  27 }