Просматривал я логи, точнее не только логи, но и штатные отчеты Мудла. Вдруг вижу клиента, входившего с логином\паролем с ip вида 10.0.0.0/8. Чего "просто так" быть не могло, поскольку "внутри" таких адресов у нас нет. Ну, подумалось, наконец-то нашелся студент, попробовавший спуфинг. Понаблюдали за ним, потом через iptable поставил фильтры с блокировкой этих ip - как на инпут, так и на аутпут. После этого в Отчетах пару раз студент появился под реальными ip. И вдруг снова 10.0.0.0/8 (понятно, что адрес полный). Iptables об использованных блокировках молчит, счетчик=0. Иду грепать исходные логи как системы, так и nginx. И так, и эдак - выдачи по запросу 10.10.10. нет. Просматриваю по времени вхождения (как это отразил Мудл) и вижу, что nginx в логах пишет ip одни, реальные (соответствуют нашему представлению о местонахождении студента), а Мудл - 10.10.10.хх. Отмечено, что ситуации различаются провайдерами клиента - через одного ip в Мудле реальные, через другого - дурацкие.
Мудл 3.0.3.
В чем косяк? предполагаю, что на стороне php?