Одним из основных преимуществ nftables перед iptables является «Упрощенное администрирование IPv4 / IPv6 с двойным стеком с помощью нового семейства inet, которое позволяет регистрировать базовые цепочки, которые видят трафик IPv4 и IPv6». (с сайта netfilter)
Мне интересно, как вы развертываете свои правила фильтрации пакетов в локальной сети с двойным стеком, с IPv4 и IPv6. Допустим, вы хотите отфильтровать систему с двойным стеком с адресами 192.168.1.100 и 2003: f9: e101 :: 1. Очевидно, что возможно иметь два правила, одно для IPv4 и одно для IPv6:
nft add rule inet table filter ip6 saddr 2003:f9:e101::1 reject
nft add rule inet table filter ip saddr 192.168.1.100 reject
Но есть ли более удобный способ не разделили правила для IPv4 и IPv6?
Насколько я знаю, это невозможно:
смешивание синтаксиса нотация IPv6 / IPv4 пока не поддерживается