Хочу перевести фаерволл в своем импровизированном роутере с iptables на nftables чтобы выкинуть кучу портянок все было по-хипстерски.

Затруднение возникло возникло с переработкой скрипта, добавляющего в ipset огромную кучу (over 18k) адресов из списка antifilter. Да-да, я знаю что «выполнять» предписания рыбнадзора можно с помощью BGP, но ЕМНИП для пиринга с antifilter нужен белый ip.

Насколько я понял, в nftables реализованы встроенные сеты, но как с ними работать из скрипта?

Правильно ли будет использовать примерно такую конструкцию?

$NFT_BIN add set ip $TABLE antifilter { type ipv4_addr flags interval\; }

while read addr
do
    $NFT_BIN add element ip $TABLE antifilter { $addr }
done </tmp/ipsum.lst

Да и вопрос производительности такого подхода меня тоже волнует.

 nftables