/etc/nftables.conf に書くやつ
まずはこんな感じで、どれくらいの流量が入って来るか測定しておく
meta l4proto {tcp, udp} th dport 53 counter accept
それから以下のように制限する
meta l4proto {tcp, udp} th dport 53 ct state new meter dns_limit1 { ip saddr timeout 1h limit rate 20/minute } counter accept
meta l4proto {tcp, udp} th dport 53 ct state new meter dns_limit2 { ip6 saddr timeout 1h limit rate 20/minute } counter accept
ちなみにudpの場合はいつも ct state new にマッチするっぽい