Накопал вот такие настройки nftables для NAT и проброса портов:
nft add table nat
nft flush table nat
nft add chain nat prerouting { type nat hook prerouting priority 0 \; }
nft add chain nat postrouting { type nat hook postrouting priority 0 \; }
nft add rule nat postrouting masquerade
nft add rule nat prerouting ip saddr 172.0.0.0/8 tcp dport { 7001, 7002, 222 } dnat 10.0.1.2
nft add rule nat prerouting ip saddr 192.168.0.0/24 tcp dport { 7001, 7002, 222 } dnat 10.0.1.2
Это запускается на машине, к которой на отдельном интерфейсе подключена ещё одна тачка, на которой должен быть интернет, и на которую мы должны иметь возможность подключиться извне на порты 222, 7001, 7002. Это работает стабильно.
Но обнаружился неприятный момент: на машине, на которой установлены эти правила nft, не работают подключения на 127.0.0.1, и, например, syncthing отказывается показывать веб-морду.
Перелопачивать все мануалы по nft лень, поэтому прошу подсказать: из-за чего возникла означенная проблема, как исправить конфиг, чтобы такой проблемы не было?