_seth_

Благодяря помощи многоуважемого foreverok была найдена причина - зараженные клиенты. Пакеты на внутреннем интерфейсе неловились из-за pppoe-обертки и неверного фильтра. Опытным путем подобрал:
tcpdump -nni eth1 | grep ".25:" А вообще споймал за хвост (благодаря подсказки foreverok) в /proc/net/ip_conntrack:
 
tcp 6 29 LAST_ACK src=10.2.1.49 dst=64.12.88.164 sport=56507 dport=25 src=64.12.88.164 dst=195.***.*.11 sport=25 dport=56507 [ASSURED] mark=0 use=2 tcp 6 79 TIME_WAIT src=10.2.1.49 dst=205.188.159.42 sport=55962 dport=25 src=205.188.159.42 dst=195.***.*.11 sport=25 dport=55962 [ASSURED] mark=0 use=2 tcp 6 49 TIME_WAIT src=10.2.1.49 dst=65.55.37.120 sport=55573 dport=25 src=65.55.37.120 dst=195.***.*.11 sport=25 dport=55573 [ASSURED] mark=0 use=2 udp 17 22 src=10.2.0.205 dst=83.163.52.185 sport=23045 dport=25157 [UNREPLIED] src=83.163.52.185 dst=195.***.*.11 sport=25157 dport=2191 mark=0 use=2 tcp 6 94 SYN_SENT src=10.2.0.146 dst=77.35.198.200 sport=2554 dport=35478 [UNREPLIED] src=77.35.198.200 dst=195.***.*.11 sport=35478 dport=2554 mark=0 use=2 tcp 6 34 SYN_SENT src=178.187.26.172 dst=195.***.*.11 sport=25457 dport=11438 [UNREPLIED] src=195.***.*.11 dst=178.187.26.172 sport=11438 dport=25457 mark=0 use=2 tcp 6 26 TIME_WAIT src=10.2.1.33 dst=65.54.188.110 sport=60607 dport=25 src=65.54.188.110 dst=195.***.*.11 sport=25 dport=60607 [ASSURED] mark=0 use=2 tcp 6 34 SYN_SENT src=10.2.0.146 dst=95.78.48.11 sport=2300 dport=25802 [UNREPLIED] src=95.78.48.11 dst=195.***.*.11 sport=25802 dport=2300 mark=0 use=2 Спасибо всем кто окликнулся и пытался помогать.