Tại sao SSH bị treo khi sử dụng các quy tắc nftables sau?

$ con mèo /etc/nftables.conf
#!/usr/sbin/nft -f

tuôn ra quy tắc

tường lửa ip bảng {
  chuỗi đầu vào {
    loại móc bộ lọc đầu vào bộ lọc ưu tiên; giảm chính sách;
    iif "lo" chấp nhận
    iif != "lo" ip Daddr 127.0.0.0/8 drop
    tcp dport 22 chấp nhận
    trạng thái ct được thành lập, chấp nhận liên quan
  }

  chuỗi về phía trước {
    loại bộ lọc móc chuyển tiếp bộ lọc ưu tiên; giảm chính sách;
  }

  đầu ra chuỗi {
    loại móc bộ lọc đầu ra bộ lọc ưu tiên; giảm chính sách;
    iif "lo" chấp nhận
    udp dport { 53, 123 } chấp nhận
    tcp dport { 53, 80, 443 } chấp nhận
    trạng thái ct được thành lập, chấp nhận liên quan
  }
}

Kết nối cuối cùng cũng hoạt động nhưng mất nhiều thời gian hơn dự kiến.

Đang chạy nhật kýctl -f, Tôi hiểu rồi systemd[1]: Không thể khởi động Trình quản lý người dùng cho UID 1000 trước khi các kết nối cuối cùng được thiết lập.

nếu tôi chạy nft tuôn ra quy tắc, kết nối hoạt động ngay lập tức.

Đã tìm thấy sự cố... lỗi đánh máy trong đầu ra chuỗi. iif "lo" chấp nhận nên là oif "lo" chấp nhận.

Đối với các kết nối đến TẤT CẢ các gói đến bên ngoài phù hợp với quy tắc này:

iif != "lo" ip Daddr 127.0.0.0/8 drop

khi chúng xuất hiện trên giao diện không phải là vòng lặp cục bộ và địa chỉ đích của chúng chắc chắn không nằm trong mạng 127.0.0.0/8. Tôi ngạc nhiên là nó vẫn hoạt động ngay cả khi đã hết thời gian chờ trừ khi bạn cũng đã thiết lập và chạy IPv6.

Đối với tất cả các kết nối gửi đi được khởi tạo cục bộ không phải là DNS, NTP, HTTP và HTTPS - chúng áp dụng chính sách hủy chuỗi đầu ra. Một lần nữa - chúng hoàn toàn không hoạt động trừ khi bạn cũng đã cài đặt và chạy IPv6.