есть влан интерфейс назначенный на лан порт, на него заведен внешний инет
так сказать реализовал еще один ван
он используется для доступа к сайту в локалке, через сат правила и альт. таблицу маршрутизации
в альт. таблице всего один маршрут
настроены правила маршрутизации (пинг, http, https)
на этом маршруте включен мониторинг (хотел сделать резерв, но не доделал, жду подсеть от провайдера)

непонятность заключается в том что, при отключении мониторинга (по arp), доступ к сайту пропадает и пинг тоже, вообще перестают работать все правила в которых учавствует альт. таблица

причем входящие соединения создаются и доходят до сайта (netstat показывает), только дальше статуса synack дело не идет
видно что не срабатывает обратная маршрутизация, но она в логах не отображается (может я не сумел отловить)
в документации написано что обратном маршруте для сети источника маршрутизация не выполняется, вместо этого выполняется проверка - сетевой источник должен быть найден на интерфейсе к которому он arrived
в rtoutes status все норм и при включенном мониторинге и при выключенном

отключить мониторинг решил когда увидел что на этом маршруте проскакивают события RFO 14, 15 (выкл/вкл маршрута), иногда, друг за дружкой

вот что упало в лог поэтому маршруту (фильтр по RFO) за ночь, никаких событий RFO ни до, ни после, нет

Wed Aug 17 04:13:04 2016: <133>[2016-08-17 04:13:06] FW: RFO: prio=2 id=04100006 rev=2 event=has_arp action=route_enabled iface=xxx4_vlan table=xxx4_table net=0.0.0.0/0 gateway=212.xxx.xxx.x
Wed Aug 17 04:14:46 2016: <133>[2016-08-17 04:14:48] FW: RFO: prio=2 id=04100006 rev=2 event=has_arp action=route_enabled iface=xxx4_vlan table=xxx4_table net=0.0.0.0/0 g