https://www.cloudshark.org/captures/6f185eb12e97
Поток TCP на порт 29909 встречает RST от 144.76.103.194 после того, как отложенный, уже повторно переданный сегмент прибывает из 86.59.21.20.
Подключения, инициированные напрямую с хоста NAT, работают нормально.
Похоже, это связано с тем, что код Linux conntrack недоволен «длинным» отложенным сегментом и прерывает соединение из-за неожиданных данных.
Поведение можно смягчить, установив netfilter/nf_conntrack_tcp_be_liberal к 1.
Документация ядра: https://www.kernel.org/doc/Documentation/networking/nf_conntrack-sysctl.txt