Eugene Grosbein написал(а) к Evgeny Chevtaev в Apr 21 15:35:19 по местному времени:

15 апр. 2021, четверг, в 08:39 NOVT, Evgeny Chevtaev написал(а):

EC> Имеется боевая конструкция, которая сломалась после обновления с 12.2 до 13.0,
EC> но для простоты воспроизвёл на свеже установленной 13.0-RELEASE. В сети два
EC> роутера - дефолтный 192.168.1.254 и второй 192.168.1.253, на котором NAT
EC> пробрасывает 80 порт на сервачок. Как водится, надо, чтобы ответы с 80 порта
EC> улетали обратно на 1.253. Сделано было через ipfw fwd и до недавнего времени
EC> работало.
EC> Настройки прилагаются:
EC> root@localhost:~ # ifconfig em0
EC> em0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
EC> options=481009b<RXCSUM,TXCSUM,VLANMTU,VLAN_НWTAGGING,VLAN_НWCSUM,VLANНWFILTER,NOMAP>
EC> ether 00:0c:29:3f:8e:40
EC> inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
EC> media: Ethernet autoselect (1000baseT <full-duplex>)
EC> status: active
EC> nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
EC> root@localhost:~ # netstat -rn
EC> Routing tables
EC> Internet:
EC> Destination Gateway Flags Netif Expire
EC> default 192.168.1.254 UGS em0
EC> 127.0.0.1 link#2 UН lo0
EC> 192.168.1.0/24 link#1 U em0
EC> 192.168.1.3 link#1 UНS lo0

EC> 01100 fwd 192.168.1.253 ip4 from me 80 to any

EC> Если глядеть ipfw show, то счётчики на правиле с fwd увеличиваются, однако
EC> ответы идут всё равно по дефолтному маршруту (tcpdump на 1.254 подтверждает).
EC> Подскажите, куда копать?

Погляди MAC-адреса обоих роутеров в таблице arp -an на сервере
и сравни MAC-адресом назначения, который показывает на самом сервере
команда tcpdump -leni em0 src port 80

Eugene
--
Тестоголовые кислое свое брожение приняли за душу, распарывание чрев
своих - за историю, средства, оттягивающие разложение - за цивилизацию...
--- slrn/1.0.3 (FreeBSD)