nft -f - <<__EOF
table bridge filter {
	chain MULTICAST_OUT {
		# Erlaube DHCP Requests
		# -p IPv4 --ip-proto udp --ip-dport 67 -j RETURN
		ether type ip udp dport 67 counter return
	}

	chain FORWARD {
		# Erlaube nur DHCP Request von CLIENT -> BATMAN
		# -p IPv4 --ip-proto udp --ip-dport 67 -j OUT_ONLY
		ether type ip udp dport 67 counter jump OUT_ONLY

		# Erlaube nur DHCP Antworten von BATMAN -> CLIENT
		# -p IPv4 --ip-proto udp --ip-dport 68 -j IN_ONLY
		ether type ip udp dport 68 counter jump IN_ONLY
	}
}
__EOF