Como você filtra pacotes de maneira diferente com base na hora do dia em nftables?

Existem patches recentes que permitem fazer exatamente isso, mas eles ainda não estão disponíveis em nenhuma versão.

Aqui estão os patches relevantes (mas fazem parte de uma série, provavelmente não seriam suficientes para serem aplicados sozinhos).

kernel linux:
[v5,2/2] netfilter: nft_meta: suporte para correspondência de tempo

libnftnl (biblioteca nftables de baixo nível do usuário):
[libnftnl,v2,1/2] expr: meta: Tornar NFT_META_TIME_{NS,DAY,HOUR} conhecido

nftables (comando userland):
[nft,2/4] meta: Introduzir novas condições 'time', 'day' e 'hour'

Alguns exemplos de uso:

  time < "2019-06-06 17:00" drop;
  time < "2019-06-06 17:20:20" drop;
  time < 12341234 drop;
  day "Saturday" drop;
  day 6 drop;
  hour >= 17:00 drop;
  hour >= "17:00:01" drop;
  hour >= 63000 drop;

[...]
Trocamos os valores esquerdo e direito em um intervalo para lidar adequadamente com intervalos de horas entre dias (por exemplo, 23:15-03:22).

Embora o patch do kernel tenha sido enviado em 17/08/2019, ele teve que passar por nf-next , net-next e foi mesclado para 5.4-rc1 em 18/09/2019. O kernel 5.4 provavelmente deve sair em algumas semanas.

Então, de acordo com o exemplo acima, embora eu não pudesse testá-lo ainda, isso provavelmente deve ser um método para descartar conexões de entrada para o servidor de correio local entre 00:00 e 04:00, uma vez executado com kernel 5.4, libnftnl 1.1.5 ? e nftables 0.9.3?:

#!/usr/sbin/nft -f

table inet filter {
    chain input {
        type filter hook input priority 0; policy accept;
        tcp dport 25 hour 00:00-04:00 drop
    }
}