nftables не пропускает PPTP соединение

[chel_ov]

Добрый день, подскажите пожалуйста как правильно создать правила nftables на шлюзе, чтобы с виндового клиента можно было соединиться с внешним PPTP сервером. Сейчас попытка соединения доходит до проверки имени и пароля, долго висит и отваливается по таймауту.

Код Выделить Развернуть

#!/usr/sbin/nft -f

table inet filter {
    chain INPUT {
        type filter hook input priority filter; policy drop;

        iif "lo" accept;
        ct state {established, related} accept;
        ip protocol 47 accept;
        ct state invalid counter drop;
        ip protocol icmp accept

    }

    chain FORWARD {
        type filter hook forward priority filter; policy drop;

        iif "lo" accept;
        ct state {established, related} accept;
        ip protocol 47 accept;
       meta l4proto {tcp, udp} th dport 1723 counter accept;
        ct state invalid counter drop

    }

    chain OUTPUT {
        type filter hook output priority filter; policy drop;

        oif "lo" accept;
        ct state {established, related} accept;
        ip protocol 47 accept;
       meta l4proto {tcp, udp} th dport 1723 counter accept;
        ct state invalid counter drop;
        ip protocol icmp accept

    }
}

table ip NAT {
    chain POSTROUTING {
        type nat hook postrouting priority 0; policy accept;
        oif { $WAN1_DEV } masquerade
    }
    chain PREROUTING {
        type nat hook prerouting priority -100; policy accept;

    }
}


Пробовал подгружать модуль ip_gre (modprobe ip_gre), не знаю нужно ли это для обычного проброса VPN протокола