Открываем для редактирования конфигурационный файл nftables:
nano /etc/nftables.conf
Вставляем туда такие правила:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input {
# по умолчанию будут дропаться все пакеты, которые не разрешены
type filter hook input priority filter; policy drop
# разрешаем подключения, которые инициировал сам сервер
ct state {established, related} accept
# разрешаем подключения к localhost
iifname "lo" accept
# разрешаем подключения по ssh
tcp dport 22 accept
# нужные вам правила, только замените IP адреса на свои
ip saddr 192.0.2.1 tcp dport {80, 443} accept
ip saddr 192.0.2.2 tcp dport {80, 443} accept
ip saddr 192.0.2.3 tcp dport {80, 443} accept
}
}
Сохраняем файл
Ctrl+O, закрываем редактор
Ctrl+X, перезагружаем службу nftables
systemctl restart nftables.service