вопрос бы решился в тот же день если бы показали то что у вас действительно было в выхлопе
iptables -L FORWARD -vn
т.к. sysctl net.bridge.bridge-nf-call-iptables=0 как раз и отключает проверку форвардинга на бриджах
создавать файл не нужно
мускул сам его создаст
покажите выхлоп запроса:
show variables
where Variable_name in ('version', 'log', 'general_log', 'general_log_file', 'sql_log_off', 'log_output');
tcpdump не всегда корректно показывает инициатора особенно когда трафик инициируется и принимается на одном и том же интерфейсе который у вас bond0 хоть он и разбит на кучку vlan
поэтому снимать через LOG в iptables
sysctl -w net.ipv4.conf.all.rp_filter=0
если не поможет обложиться логами в iptables на каждой цепочке каждой таблицы на пути пакетов
путь проверки пакетов ru.wikibooks.org/wiki/Iptables
SSL не нужно пробрасывать
его отлично сам nginx будет держать в сторону клиента