Нашел в интернете пиздонину, которая позволяет смотреть счетчики ПРЯМО КАК В IPTABLES: https://github.com/azlux/nft-stats Занавес, блять.

Понял, что в этой залупе со счетчиками надо ебаться вручную. Охуел. Со спокойной совестью достал iptables назад.

nftables не дает определить переменную длиннее 16 символов. В последний раз такой пиздец я видел в РСУБД «Oracle».

Зарейтлимитил себе браузер в 100кбит/с чисто на поржать. На бнв не видно разницы, главная гугла грузится несколько секунд. Как втупую рейтлимитить как боженька (без tc и смс!): mkdir /sys/fs/cgroup/net_cls/shit echo 56 > /sys/fs/cgroup/net_cls/net_cls.classid for x in $(pidof firefox-bin); do echo "$x" > /sys/fs/cgroup/net_cls/shit/cgroup.procs ; done # дальше предполагается, что у вас есть цепочки INPUT и OUTPUT и они с 0 приоритетом в filter input и filter output nft add rule inet INPUT ct mark 56 limit rate 13 kbytes/second burst 8 kbytes counter accept nft add rule inet INPUT ct mark 56 counter drop nft add rule inet OUTPUT cgroup 56 counter ct mark set 56 "56" потому что я изначально хотел 56 кбит (13 заменить на 7 kbytes/second в правиле в INPUT), но зассал так жить

Помните я ныл про wireguard и посос с форвардингом? Как оказалось, я на той тачке переехал на nftables. И забыл. В результате после дроча с wireguard там работало два почти идентичных набора правил, но один в нфт, а второй в ипстолах. Само собой в нфт на неведомое в форварде стоял дроп. Такие дела. Алсо, в современных прыщиксах iptables это iptables-nft, и его правила (иногда криво, но всё же) видно через nft. Короче, прыщарды, PSA: пора менять привычки: если раньше при любом втф с фаерволлом ты нажимал iptables-save и смотрел, то теперь надо нажимать nft list ruleset и смотреть туда.