Петлевые соединения nftables не работают в CentOS 7

я удалил брандмауэр и установлен nftables в CentOS 7 (ядро 3.10.0-1160.42.2.el7.x86_64). Мой набор правил выглядит следующим образом:

# список правил nft

IP-адрес таблицы my_table {
        установить ssh_evils {
                введите ipv4_addr
        }

        установить sip_evils {
                введите ipv4_addr
        }

        установить номеронабиратели {
                введите ipv4_addr
        }

        установить sip_origins {
                введите ipv4_addr
                элементы = { 27.a.b.c, 51.p.q.r,
                             139.xyz }
        }

        установить port_fw {
                введите ipv4_addr
                элементы = {27.a.b.c}
        }

        установить iax_ports {
                введите inet_service
                элементы = {4501}
        }

        цепочка ввода {
                введите приоритет ввода хука фильтра 0; падение политики;
                iif "lo" принять
                tcp dport ssh ip saddr @ssh_evils счетчик пакетов 0 байт 0 падение
                udp dport sip ip saddr @sip_evils счетчик пакетов 0 байт 0 дроп
                ct state vmap {недопустимый: отбрасывать, установленный: принять, связанный: принять, новый: принять}
                udp dport {1100-1199, 10000-20000} принять
                udp dport @iax_ports принять
                udp dport {sip} ip saddr @sip_origins принять
                udp dport { sip } ip saddr @dialers принимают
                tcp dport {ssh, http, https} принять
                icmp тип ограничения скорости эхо-запроса 500/секунду принять
        }

        цепь манекен1 {
                type filter hook prerouting Priority -100; политика принять;
        }

        цепь манекен2 {
                type filter hook forward Priority 0; политика принять;
        }

        цепь манекен3 {
                type filter hook postrouting priority 100; политика принять;
        }

        цепь port_forward {
                type nat hook prerouting priority -10; политика принять;
                tcp dport 40004 ip saddr @port_fw днат на 192.168.101.4:http
                tcp dport 40005 ip saddr @port_fw dnat на 192.168.101.5:http
                tcp dport 40009 ip saddr @port_fw dnat на 192.168.101.9:http
                tcp dport 50001 ip saddr @port_fw dnat to 10.1.1.2:http
        }

        цепочка sip_forward {
                type nat hook prerouting priority -10; политика принять;
                udp dport {6060-6080} перенаправить на :sip
        }

        цепочка tmp_forward {
                type nat hook prerouting priority -10; политика принять;
        }

        цепная маска {
                тип nat hook postrouting приоритет 10; политика принять;
                маскарад
        }
}

я удалил брандмауэр полностью и не имеют iptables правило.

Но это nftable конфигурация не позволяет петля связь, даже пинг 127.0.0.1 получает тайм-аут.

Другие вещи (напр. http, ssh перенаправление портов и т. д.) работает отлично.

Я не мог найти никакого решения для этого. нфт монитор ничего не печатает.

Я понял! Проблема заключалась в безусловном маскарад правило.

я заменил

цепная маска {
        тип nat hook postrouting приоритет 10; политика принять;
        маскарад
}

с

цепная маска {
        тип nat hook postrouting приоритет 10; политика принять;
        oif != "lo" маскарад
}

и проблема решена!