การเชื่อมต่อลูปแบ็ค nftables ไม่ทำงานใน CentOS 7

ฉันลบออกแล้ว ไฟร์วอลล์ และติดตั้ง nftable ใน CentOS 7 (เคอร์เนล 3.10.0-1160.42.2.el7.x86_64). ชุดกฎของฉันเป็นดังนี้:

# ชุดกฎรายการ nft

ตาราง ip my_table {
        ตั้งค่า ssh_evils {
                พิมพ์ ipv4_addr
        }

        ตั้งค่า sip_evils {
                พิมพ์ ipv4_addr
        }

        ตั้งเลขหมาย {
                พิมพ์ ipv4_addr
        }

        ตั้งค่า sip_origins {
                พิมพ์ ipv4_addr
                องค์ประกอบ = { 27.a.b.c, 51.p.q.r,
                             139.x.y.z }
        }

        ตั้ง port_fw {
                พิมพ์ ipv4_addr
                องค์ประกอบ = { 27.a.b.c }
        }

        ตั้งค่า iax_ports {
                พิมพ์ inet_service
                องค์ประกอบ = { 4501 }
        }

        อินพุตลูกโซ่ {
                ประเภทตัวกรอง hook อินพุตลำดับความสำคัญ 0; นโยบายลดลง;
                iif "lo" ยอมรับ
                tcp dport ssh ip saddr @ssh_evils ตัวนับแพ็กเก็ต 0 ไบต์ 0 วาง
                udp dport sip ip saddr @sip_evils ตัวนับแพ็กเก็ต 0 ไบต์ 0 ปล่อย
                ct state vmap { ไม่ถูกต้อง: วาง, สร้างแล้ว: ยอมรับ, เกี่ยวข้อง: ยอมรับ, ใหม่: ยอมรับ }
                พอร์ต udp { 1100-1199, 10,000-20,000 } ยอมรับ
                udp dport @iax_ports ยอมรับ
                udp dport { sip } ip saddr @sip_origins ยอมรับ
                udp dport { sip } ip saddr @dialers ยอมรับ
                tcp dport { ssh, http, https } ยอมรับ
                ประเภท icmp echo-request limit อัตรา 500/วินาที ยอมรับ
        }

        ห่วงโซ่หุ่น 1 {
                ประเภทตัวกรอง hook ลำดับความสำคัญก่อนกำหนด -100; นโยบายยอมรับ;
        }

        ห่วงโซ่ดัมมี่ 2 {
                ประเภทตัวกรอง hook ลำดับความสำคัญไปข้างหน้า 0; นโยบายยอมรับ;
        }

        ห่วงโซ่ดัมมี่ 3 {
                ประเภทตัวกรอง hook ลำดับความสำคัญหลังการกำหนดเส้นทาง 100; นโยบายยอมรับ;
        }

        ห่วงโซ่ port_forward {
                พิมพ์ nat hook การกำหนดลำดับความสำคัญก่อนกำหนด -10; นโยบายยอมรับ;
                tcp dport 40004 ip saddr @port_fw dnat เป็น 192.168.101.4:http
                tcp dport 40005 ip saddr @port_fw dnat เป็น 192.168.101.5:http
                tcp dport 40009 ip saddr @port_fw dnat เป็น 192.168.101.9:http
                tcp dport 50001 ip saddr @port_fw dnat เป็น 10.1.1.2:http
        }

        ห่วงโซ่ sip_forward {
                พิมพ์ nat hook การกำหนดลำดับความสำคัญก่อนกำหนด -10; นโยบายยอมรับ;
                udp dport { 6060-6080 } เปลี่ยนเส้นทางไปที่ :sip
        }

        โซ่ tmp_forward {
                พิมพ์ nat hook การกำหนดลำดับความสำคัญก่อนกำหนด -10; นโยบายยอมรับ;
        }

        หน้ากากลูกโซ่ {
                พิมพ์ nat hook postrouting ลำดับความสำคัญ 10; นโยบายยอมรับ;
                สวมหน้ากาก
        }
}

ฉันได้ถอนการติดตั้ง ไฟร์วอลล์ สมบูรณ์และไม่มีเลย iptables กฎ.

แต่นี่ nftable ไม่อนุญาตให้มีการกำหนดค่า ย้อนกลับ การเชื่อมต่อแม้กระทั่ง ปิง 127.0.0.1 ได้รับหมดเวลา

สิ่งอื่นๆ (เช่น http, จุ๊ๆ การส่งต่อพอร์ต ฯลฯ ) ทำงานได้อย่างสมบูรณ์

ฉันไม่สามารถหาวิธีแก้ปัญหานี้ได้ จอภาพ nft ไม่พิมพ์อะไรเลย

ฉันคิดออกแล้ว! ปัญหาคือการไม่มีเงื่อนไข ปลอมตัว กฎ.

ฉันแทนที่

หน้ากากลูกโซ่ {
        พิมพ์ nat hook postrouting ลำดับความสำคัญ 10; นโยบายยอมรับ;
        สวมหน้ากาก
}

กับ

หน้ากากลูกโซ่ {
        พิมพ์ nat hook postrouting ลำดับความสำคัญ 10; นโยบายยอมรับ;
        oif != "หล่อ" สวมหน้ากาก
}

และปัญหาได้รับการแก้ไข!