Сервис nftables включён, firewalld выключен. В /etc/sysconfig/nftables.conf всё правильно. Команда «nft -f /etc/sysconfig/nftables.conf» руками подгружает всё правильно.
После ребута имеем нужные правила + кучу мусора вида
chain INPUT {
type filter hook input priority filter; policy accept;
iifname "virbr0" meta l4proto udp udp dport 53 counter packets 0 bytes 0 accept
iifname "virbr0" meta l4proto tcp tcp dport 53 counter packets 0 bytes 0 accept
iifname "virbr0" meta l4proto udp udp dport 67 counter packets 0 bytes 0 accept
iifname "virbr0" meta l4proto tcp tcp dport 67 counter packets 0 bytes 0 accept
}
chain FORWARD {
type filter hook forward priority filter; policy accept;
oifname "virbr0" ip daddr 192.168.122.0/24 ct state related,established counter packets 0 bytes 0 accept
iifname "virbr0" ip saddr 192.168.122.0/24 counter packets 0 bytes 0 accept
iifname "virbr0" oifname "virbr0" counter packets 0 bytes 0 accept
oifname "virbr0" counter packets 0 bytes 0 reject
iifname "virbr0" counter packets 0 bytes 0 reject
}
chain OUTPUT {
type filter hook output priority filter; policy accept;
oifname "virbr0" meta l4proto udp udp dport 68 counter packets 0 bytes 0 accept
grep -r по кускам этих правил ничего внятного не выдаёт, ip и сеток таких на машине просто нет. Откуда оно подгружается тогда?
