chain output-raw {
        type filter hook output priority raw

        oif lo goto output-raw-loopback
        # Ce n'est pas un poisson.
        # Si uid des utilisateurs n'est pas dans la liste définie (root, etc.), pas d'accès à internet, on drop le paquet, mais poliment.
        # Ça, on peut pas le faire avec iptables
        skuid != { root, systemd-network, unbound, alpm, chrony, postfix, dovecot, dovenull, http } counter goto graceful-reject

        # translate DSCP to priority for fq bands
        meta priority set ip dscp map @dscp-to-priority
        meta priority set ip6 dscp map @dscp-to-priority

        meta l4proto { icmp, ipv6-icmp } notrack accept
    }