[Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

 > 192.168.1.2  локальная машина
> > 91.144.134.30 внешний IP сервера
> > 
> > IP 91.144.134.30.41113 > 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 <mss 
> > 40,nop,nop,sackOK,nop,wscale 7>
> > IP 93.158.134.8.http > 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 <mss 
> > 216,nop,wscale 3,sackOK,eol>
> 1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE...
> 2. Откуда взялся "серый" IP получателя на внешнем интерфейсе?
> 
> > 00:17:34.644611 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> > 00:17:37.604735 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> Вообще все смешалось - и "белый" и "серый", каждый шлет что-то свое... У вас прокси
> прозрачный?
> 

Я уже сам засомневался. squid.conf  при установке сразу заменил на свой. Думаю, вдруг правда записался где Прозрачный 
прокси.

Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной обошел, ни прозрачный, ни такой. С чистого 
листа только прописывал правила в NAT. Ночего другого не тогал.
iptables -t nat -A POSTROUTING -o ppp1 -s 192.168.1.0/24 -j MASQUERADE
и такое пробовал
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to XX.XX.XX.XX

Адрес внешний статический.

Очистил NAT 
iptables -t nat -F
iptables -F

Сново правила NAT. Все тоже как было.  На сервере все отлично. А слокальной пробую:
$ tracepath 193.1.193.64
 1:  192.168.1.2 (192.168.1.2)                              0.213ms pmtu 1350
 1:  myseif.myseif.ru (192.168.1.254)                       0.529ms
 1:  myseif.myseif.ru (192.168.1.254)                       0.592ms
 2:  net132.144.91-222.chel.ertelecom.ru (91.144.132.222)   2.834ms asymm  3
 3:  net132.144.91-202.chel.ertelecom.ru (91.144.132.202)   2.376ms

пошли

а даже APT обновить не могу
# apt-get update
16% [Logging in] [Logging in]^C

В это время на сервере:

# tcpdump -n -i ppp1 -l | tee tmp.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
01:01:50.920490 IP 91.144.134.30.48828 > 194.107.17.7.ftp: S 1511068115:1511068115(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.957203 IP 194.107.17.7.ftp > 192.168.1.2.48828: S 457915355:457915355(0) ack 1511068116 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
01:01:50.957352 IP 91.144.134.30.48828 > 194.107.17.7.ftp: . ack 457915356 win 41
01:01:50.970309 IP 91.144.134.30.46353 > 193.1.193.64.ftp: S 1507566550:1507566550(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.996005 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:50.996161 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:51.083918 IP 193.1.193.64.ftp > 192.168.1.2.46353: S 2667208159:2667208159(0) ack 1507566551 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
01:01:51.084066 IP 91.144.134.30.46353 > 193.1.193.64.ftp: . ack 2667208160 win 41
01:01:51.201035 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:51.201166 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:53.999148 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:53.999387 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:54.197410 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:54.197650 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:59.999978 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:02:00.000392 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:02:00.206962 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:02:00.207310 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0


Чудес не бывает, не верю. Но все-таки что это может быть?