Как заблокировать любой входящий трафик с сета IP адресов?

Question

[ShadowTrix]

Начал применять nftables и захотелось с конфига Nginx перенести блокировку ~3000 адресов, для которых нужно полностью отбрасывать пакеты, не показывая признаков жизни даже по пингу.

В iptables это делалось так:
iptables -A INPUT -s 162.55.85.217 -j REJECT

В nftables добавил такую таблицу:

table ip filter {
    set blockips {
        type ipv4_addr
        flags interval
        elements = { 1.48.0.0/15, 1.50.0.0/16,
                1.68.0.0/14, 1.72.128.0/18 }
    }

    chain INPUT {
        type filter hook input priority filter; policy accept;
        ip saddr @blockips reject
    }
}

И далее по необходимости добавляю нужные адреса:

nft add element ip filter blockips { 192.42.116.175 }

Как считаете: все ли верно и будет ли блокировка работать?

Доп.вопрос: справляется ли nftables с таким большим сетом на 3к адресов, тормозов не будет?

Всем заранее спасибо за ответы и замечания.

Comments

[hint000]

справляется ли nftables с таким большим сетом на 3к адресов

Это и не большой сет, это мелочь. Где-нибудь на 300k может быть и будет тормозить или не будет (зависит от толщины трафика, зависит от производительности железа ("малина" и x64 в разных весовых категориях)).