Ok, resolvi esse aqui. Obrigado por todos os conselhos pessoal!
O que aconteceu é que há um aplicativo Java em execução através de um programa shell do Mac nesta máquina que possui opções diferentes para criar uma interface da Web baseada no Jetty. De alguma forma, isso foi configurado para assumir a porta 80 - a porta HTTP padrão - e desabilitar isso alterando o URL da porta para outra coisa - como 666666 - resolveu o problema. net.inet.ip.fw.enable
e net.inet.ip.forwarding
permanecem definidos em 0
(também conhecidos como: desativado) e não voltam à vida quando a porta é alterada para uma porta não padrão para fins de HTTP.
Dito isso, ainda preciso que o conteúdo seja entregue por meio de uma conexão padrão da porta 80. Então, liguei os serviços da Web no servidor & defina um proxy reverso daquele para a porta 666666. Tudo se comporta como deveria.
Mas o que é preocupante para mim é como o aplicativo conseguiu assumir algumas funções sudo
level - como definir sysctl
options - sem aparentemente pedir uma senha de administrador. Isso é normal para aplicativos Jetty ou idiossincrático para este aplicativo? Talvez tenha pedido uma senha de administrador quando foi instalada antes mesmo de eu ir para ela? Não sei nem me importo agora. Mas esclarecer isso esclareceu muitos problemas de rede nesta caixa, agora que este aplicativo não está mais sequestrando o roteamento & funções de firewall.