Есть возможность фаервол флушнуть?

для теста

таблицу NAT естественно не трогать

Chain INPUT (policy ACCEPT 172M packets, 16G bytes)
num   pkts bytes target     prot opt in     out     source               destination        
Chain FORWARD (policy ACCEPT 23G packets, 28T bytes)
num   pkts bytes target     prot opt in     out     source               destination        
1    3479K  247M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set allowed dst
2        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set nomoney src reject-with icmp-proto-unreachable
3        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set freezee src reject-with icmp-proto-unreachable
4        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set disabled src reject-with icmp-proto-unreachable
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set deleted src reject-with icmp-proto-unreachable
6        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set unknown src reject-with icmp-proto-unreachable
Chain PREROUTING (policy ACCEPT 273M packets, 22G bytes)
num   pkts bytes target     prot opt in     out     source               destination        
1    1172K   77M ACCEPT     udp  --  *      *       172.31.0.0/20        0.0.0.0/0            udp dpt:53
2    1439K   96M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set allowed dst
3    12271  636K DNAT       tcp  --  *      *       172.31.0.0/20        0.0.0.0/0            tcp dpt:80 to:185.221.44.5:81
4    79497 4866K DNAT       tcp  --  *      *       172.31.0.0/20        0.0.0.0/0            tcp dpt:443 to:185.221.44.5:81
Chain POSTROUTING (policy ACCEPT 11M packets, 1028M bytes)
num   pkts bytes target     prot opt in     out     source               destination        
1    7896K  739M SNAT       all  --  *      ens1f0  10.10.80.0/21        0.0.0.0/0            to:45.133.98.26
2      19M 1795M SNAT       all  --  *      ens1f0  10.10.40.0/21        0.0.0.0/0            to:45.133.98.28
3    5506K  536M SNAT       all  --  *      ens1f0  10.10.72.0/21        0.0.0.0/0            to:45.133.98.25
4      17M 1577M SNAT       all  --  *      ens1f0  10.10.64.0/21        0.0.0.0/0            to:45.133.98.24
5      13M 1285M SNAT       all  --  *      ens1f0  10.10.24.0/21        0.0.0.0/0            to:45.133.98.19
6    9973K  929M SNAT       all  --  *      ens1f0  10.10.48.0/21        0.0.0.0/0            to:45.133.98.20
7      11M 1048M SNAT       all  --  *      ens1f0  10.10.56.0/21        0.0.0.0/0            to:45.133.98.21
8      20M 1905M SNAT       all  --  *      ens1f0  10.10.32.0/21        0.0.0.0/0            to:45.133.98.22
9      27M 2486M SNAT       all  --  *      ens1f0  10.10.16.0/21        0.0.0.0/0            to:45.133.98.22
10     13M 1285M SNAT       all  --  *      ens1f0  10.10.0.0/21         0.0.0.0/0            to:45.133.98.23
11   8631K  903M SNAT       all  --  *      ens1f0  10.10.88.0/21        0.0.0.0/0            to:45.133.98.27
12    288K   28M SNAT       all  --  *      ens1f0  10.10.8.0/21         0.0.0.0/0            to:45.133.98.29
13       0     0 SNAT       all  --  *      ens1f0  10.10.96.0/21        0.0.0.0/0            to:45.133.98.30
14       0     0 SNAT       all  --  *      ens1f0  10.10.104.0/21       0.0.0.0/0            to:45.133.98.31
15    297K   29M SNAT       all  --  *      ens1f0  10.10.112.0/21       0.0.0.0/0            to:45.133.98.32
16       0     0 SNAT       all  --  *      ens1f0  10.10.120.0/21       0.0.0.0/0            to:45.133.98.33
17       0     0 SNAT       all  --  *      ens1f0  10.10.128.0/21       0.0.0.0/0            to:45.133.98.34
18   1172K   77M SNAT       udp  --  *      ens1f0  172.31.0.0/20        0.0.0.0/0            udp dpt:53 to:185.221.44.13
19       0     0 SNAT       tcp  --  *      ens1f0  172.31.0.0/20        0.0.0.0/0            match-set allowed dst tcp dpt:80 to:185.221.44.13

20    2534  152K SNAT       tcp  --  *      ens1f0  172.31.0.0/20        0.0.0.0/0            match-set allowed dst tcp dpt:443 to:185.221.44.13
Chain PREROUTING (policy ACCEPT 23G packets, 28T bytes)
num   pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 141M packets, 10G bytes)
num   pkts bytes target     prot opt in     out     source               destination        
Name: allowed
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 328
References: 4
Number of entries: 5
Members:
8.8.8.8
31.31.196.58
94.138.149.154
176.99.1.5
185.221.44.5

есть, ща попробую

ну в perf top то же самое осталось

а еще разок скрин

и покажите вывод sysctl net.ipv4.conf.ens1f1.rp_filter и sysctl net.ipv4.conf.ens1f0.rp_filter

И для какого то ppp sysctl net.ipv4.conf.ppp0.rp_filter

# sysctl net.ipv4.conf.ens1f1.rp_filter
net.ipv4.conf.ens1f1.rp_filter = 0
# sysctl net.ipv4.conf.ens1f0.rp_filter
net.ipv4.conf.ens1f0.rp_filter = 0

# sysctl net.ipv4.conf.ppp201.rp_filter
net.ipv4.conf.ppp201.rp_filter = 0

а в чём смысл держать в нуле, а не поставить хотя-бы двоечку? есть хитрый роутинг?

там же может всякое происходить интересное

+

/proc/sys/net/ipv4/conf/all/route_localnet не включено случайно?

Но мне чего то немного страшновато рекомендовать в 2 сходу бездополнительных данных

да нету там хитрого рутинга, кроме кваги с оспф

Александр попробуете sysctl -w net.ipv4.conf.all.rp_filter=2