{{ ansible_managed | comment }}

table inet blacklist {

    set blacklist_v4 {
        type ipv4_addr
        flags interval
    }

    set blacklist_v6 {
        type ipv6_addr
        flags interval
    }

    # Compteur des paquets ignorés car les adresses étaient en liste noire
    counter blacklist {}

    # Cette chaîne est appliquée très tôt (avant le conntrack entre autres)
    # afin de limiter autant que possible l'impact des hôtes en liste noire
    # (notamment en cas d'attaque par déni de service)
    chain filter {
        type filter hook prerouting priority -310
        policy accept

        # On ne journalise pas pour limiter la charge sur les serveurs de
        # journalisation
        ip saddr @blacklist_v4 counter name blacklist drop
        ip6 saddr @blacklist_v6 counter name blacklist drop
    }

}