Почему nft не блокирует IP?

Question

[Станислав]

Что делаю не так?
Вот правила

table inet attack {
        set ban {
                type ipv4_addr
                elements = { МОЙ IP }
        }

        chain input {
                type filter hook input priority filter - 1; policy accept;
                tcp dport { 80, 443 } ip saddr @ban reject with icmp port-unreachable
        }
}

Баню сам себяи все равно есть доступ, ничего не происходит.

Comments

[Евгений]

port-unreachable а если доступен?
Вы icmp закрыли?

Answer 1

[Максим Гришин]

Блок на input, а проверяете небось с того же узла - трафик идет через lo а там дефолтный accept. Проверять надо с соседнего узла и его айпи пихать в список.