ipfw fwd после обновления

Evgeny Chevtaev написал(а) к All в Apr 21 08:39:34 по местному времени:

Нi All!

Имеется боевая конструкция, которая сломалась после обновления с 12.2 до 13.0, но для простоты воспроизвёл на свеже установленной 13.0-RELEASE. В сети два роутера - дефолтный 192.168.1.254 и второй 192.168.1.253, на котором NAT пробрасывает 80 порт на сервачок. Как водится, надо, чтобы ответы с 80 порта улетали обратно на 1.253. Сделано было через ipfw fwd и до недавнего времени работало.

Настройки прилагаются:

root@localhost:~ # ifconfig em0
em0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=481009b<RXCSUM,TXCSUM,VLANMTU,VLAN_НWTAGGING,VLAN_НWCSUM,VLANНWFILTER,NOMAP>
ether 00:0c:29:3f:8e:40
inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

root@localhost:~ # netstat -rn
Routing tables

Internet:
Destination Gateway Flags Netif Expire
default 192.168.1.254 UGS em0
127.0.0.1 link#2 UН lo0
192.168.1.0/24 link#1 U em0
192.168.1.3 link#1 UНS lo0

root@localhost:~ # ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01100 fwd 192.168.1.253 ip4 from me 80 to any
01200 allow ip from any to any via em0
01300 deny log ip from any to any
65535 deny ip from any to any

Если глядеть ipfw show, то счётчики на правиле с fwd увеличиваются, однако ответы идут всё равно по дефолтному маршруту (tcpdump на 1.254 подтверждает). Подскажите, куда копать?

With best regards,
Evgeny
--- GoldED+/BSD 1.1.5-b20180707