# ip a
.....
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
.........
inet x.x.x.210/29 brd x.x.x.215 scope global enp1s0
valid_lft forever preferred_lft forever
inet x.x.x.213/29 scope global secondary enp1s0
valid_lft forever preferred_lft forever
inet x.x.x.211/29 scope global secondary enp1s0
valid_lft forever preferred_lft forever
.........root@:~
# ping -c4 -I x.x.x.211 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from x.x.x.211 : 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3063ms
root@:~
# ping -c4 -I x.x.x.211 x.x.x.209
PING x.x.x.209 (x.x.x.209) from x.x.x.211 : 56(84) bytes of data.
--- x.x.x.209 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3071msroot@:~
# ping -c4 -I x.x.x.211 x.x.x.214
PING x.x.x.214 (x.x.x.214) from x.x.x.211 : 56(84) bytes of data.
64 bytes from x.x.x.214: icmp_seq=1 ttl=64 time=0.389 ms
64 bytes from x.x.x.214: icmp_seq=2 ttl=64 time=0.227 ms
64 bytes from x.x.x.214: icmp_seq=3 ttl=64 time=0.213 ms
64 bytes from x.x.x.214: icmp_seq=4 ttl=64 time=0.235 ms
--- x.x.x.214 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3079ms
rtt min/avg/max/mdev = 0.213/0.266/0.389/0.071 msroot@:~
# ping -c4 -I x.x.x.210 x.x.x.209
PING x.x.x.209 (x.x.x.209) from x.x.x.210 : 56(84) bytes of data.
64 bytes from x.x.x.209: icmp_seq=1 ttl=255 time=4.53 ms
64 bytes from x.x.x.209: icmp_seq=2 ttl=255 time=5.58 ms
64 bytes from x.x.x.209: icmp_seq=3 ttl=255 time=3.61 ms
64 bytes from x.x.x.209: icmp_seq=4 ttl=255 time=3.65 ms
--- x.x.x.209 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 3.606/4.343/5.584/0.805 ms
root@:~
# ping -c4 -I x.x.x.210 8.8.8.8
PING 8.8.8.8 (8.8.8.8 from x.x.x.210 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=19.4 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=15.8 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=57 time=16.2 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=57 time=15.9 ms
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 15.810/16.833/19.414/1.498 ms
-A FORWARD -p tcp -j bad_TCP # цепочка с проверкой корректности соединений
-A FORWARD -p icmp -j good_ICMP # цепочка ограничения icmp
.....
-A FORWARD -s 172.17.210.208/28 -j from_dmz
.......
-A FORWARD -d 172.17.210.211/32 -j to_mail
-A FORWARD -d 172.17.210.208/28 -j to_dmz
.......
-A from_dmz -j ACCEPT # пока открыт полный свободный выход для машин из DMZ
.......
-A to_mail -p tcp -m multiport --dports 25,443,587,636,993,1163 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
#-A to_mail -j LOG --log-prefix " ### TO MAIL ### "
-A to_mail -j DROP
............
-A to_dmz -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
..........
# tcpdump -n -i enp1s0:1 icmp# tcpdump -n -i enp2s0 icmp
Посмотрел трафик на порту коммутатора, куда включен шлюз провайдера.
Оказалось, что шлюз провайдера после переключения IP на новый почтовик продолжает отвечать на ping'и, используя MAC старого почтовика в адресе получателя.
Т.е. он игнорирует изменение MAC у отправителя.
При обращении к провайдеру, тот ответил, что со шлюзом всё нормально и MAC-таблица на шлюзе обновляется... но, оказывается, не в этом случае.
Принудительный сброс MAC-таблицы провайдером на своём шлюзе решил проблему.
Но сработало это только, когда я сначала выключил старый почтовик и включил новый почтовик.
Сброс таблицы перед сменой почтовиков результата не давал.
Мой итог.
1) Шлюз провайдера обновляет свою MAC-таблицу, если MAC для него новый.
(мой эксперимент с тестовой виртуалкой, выставленной в WAN-сеть с IP .211 )
2) Шлюз обновляет свою MAC-таблицу, если MAC в таблице есть, но появлется новый IP
(добавление на мой шлюз новых IP .212 и .213)
3) Шлюз не обновляет свою MAC-таблицу, если IP уже есть в его таблице и MAC уже присутсвует с другим IP.
(у шлюза в таблице присутствует запись по строму почтовику и запись MAC'а моего шлюза с IP .210 )
Если что, шлюз провайдера: ZTE F660