Odpověď na názor

[1]: Já, když jsem tohle zkoušel, tak mi to nefungovalo, protože "nat/POSTROUTING" se provádí až po "filter/OUTPUT" (a navíc "filter/OUTPUT" se neprovádí u routovaných packetů). Bohužel je "nat/POSTROUTING" poslední chain, co se provádí, takže za něj už žádné omezení dát nejde. Pomohlo mi:

-A FORWARD -m conntrack --ctstate INVALID -j REJECT --reject-with icmp-port-unreachable

--- na Linuxu to bez tohoto padá tehdy, když Linux NAT zapomene stav nějakého spojení (myslí si, že už bylo ukončeno) a klient za NATem si myslí, že to spojení stále žije. Pak Linuxový NAT přestane přepisovat zdrojovou adresu a bude ty packety routovat tak jak chodí. K odfiltrování takových packetů je potřeba ten test na cstate INVALID.

Ale pokud je tam něco, co generuje packety lokálně s jinou adresou (otázka je jak? že by se někdo snažil o multicasty či co?), tak by to s tím OUTPUT mohlo pomoct.

... jinak, ať si dotyčný pustí tcpdump a zkusí z toho určit, jaký zlý packet mu to spojení shodil.