Conexiunile loopback nftables nu funcționează în CentOS 7

am eliminat firewalld și instalat nftables în CentOS 7 (kernel 3.10.0-1160.42.2.el7.x86_64). Regulile mele sunt după cum urmează:

# set de reguli liste nft

table ip my_table {
        setați ssh_evils {
                tastați ipv4_addr
        }

        setează sip_evils {
                tastați ipv4_addr
        }

        setați dialere {
                tastați ipv4_addr
        }

        setați sip_origins {
                tastați ipv4_addr
                elemente = { 27.a.b.c, 51.p.q.r,
                             139.x.y.z }
        }

        set port_fw {
                tastați ipv4_addr
                elemente = { 27.a.b.c }
        }

        setați iax_ports {
                tastați inet_service
                elemente = {4501}
        }

        intrare în lanț {
                tip filtru cârlig prioritate de intrare 0; scăderea politicii;
                dacă "lo" accept
                tcp dport ssh ip saddr @ssh_evils contor pachete 0 octeți 0 picătură
                udp dport sip ip saddr @sip_evils contor pachete 0 octeți 0 picătură
                ct state vmap { invalid: drop, stabilit: accept, related: accept, new: accept }
                udp dport { 1100-1199, 10000-20000 } accept
                udp dport @iax_ports accept
                udp dport { sip } ip saddr @sip_origins accept
                udp dport { sip } ip saddr @dialers accept
                tcp dport { ssh, http, https } accept
                icmp tip echo-request limit rate 500/secundă accept
        }

        lanț dummy1 {
                tip filtru cârlig prioritate prerouting -100; acceptarea politicii;
        }

        lanț dummy2 {
                tip filtru cârlig înainte prioritate 0; acceptarea politicii;
        }

        lanț dummy3 {
                tip filter hook postrouting prioritate 100; acceptarea politicii;
        }

        lanț port_forward {
                tip nat hook prioritate prerouting -10; acceptarea politicii;
                tcp dport 40004 ip saddr @port_fw dnat la 192.168.101.4:http
                tcp dport 40005 ip saddr @port_fw dnat la 192.168.101.5:http
                tcp dport 40009 ip saddr @port_fw dnat la 192.168.101.9:http
                tcp dport 50001 ip saddr @port_fw dnat la 10.1.1.2:http
        }

        lanț sip_forward {
                tip nat hook prioritate prerouting -10; acceptarea politicii;
                udp dport { 6060-6080 } redirecționează către :sip
        }

        lanț tmp_forward {
                tip nat hook prioritate prerouting -10; acceptarea politicii;
        }

        masq de lanț {
                tip nat hook postrouting prioritate 10; acceptarea politicii;
                mascaradă
        }
}

Am dezinstalat firewalld complet și nu au niciunul iptables regulă.

Dar asta nftable configurația nu permite loopback conexiune, chiar ping 127.0.0.1 primește timeout.

Alte lucruri (de ex. http, ssh port-forwarding etc.) funcționează perfect.

Nu am putut găsi nicio soluție la asta. monitor nft nu tipărește nimic.

Mi-am dat seama! Problema a fost necondiționat mascandu-se regulă.

am inlocuit

masq de lanț {
        tip nat hook postrouting prioritate 10; acceptarea politicii;
        mascaradă
}

cu

masq de lanț {
        tip nat hook postrouting prioritate 10; acceptarea politicii;
        oif != "lo" masquerade
}

si problema rezolvata!