Szerintem a legkorrektebb megoldás, ha ipset-tel felveszed az adott ország tartományait és azt töltöd be. Nem tudom, hogy az nftables-nél hogy működik, de iptables-szel így csinálom és hibátéanul teszi a dolgát (látom, hogy írtad az iptables-t, de a ( alapértelmezetten nftables-t használ, menjünk biztosra).