JF> А ты что, не в курсе что pf уже давно сломали с туннелями. Скажи
Дело не в этом. Это однозначно ошибка связанная с недостаточной длинной snaplen. Спасибо Eugene!
А вот пакет, который отфильтровывается, выпадает из state. То есть удалённая сторона по мне непонятной причине дублирует прощальный ACK при закрытии соединения, то есть первый его окончательно закрывает, что удаляет state, а его дубль оказывается отфильтрован, поскольку pf state уже закрыл. Мне почему-то казалось что state'ы в состоянии FIN_WAIT_2:FIN_WAIT_2 должны такие пакеты принимать, но, видимо, это не так, или не всегда так.