Nevidím v těch pravidlech nic, co by mne na první pohled trklo „tohle je špatně“. Nejsem si úplně jistý, jak bude fungovat ta kombinace volby odchozího rozhraní, dvou výchozích bran a maškarády. Z tcpdumpu výše je vidět, že mají pakety očekávanou zdrojovou IP adresu, ale je nastavená hned při vytvoření paketu, nebo to udělá až maškaráda?
Zkusil bych dvě věci. Jednak pustit ten tcpdump i se zapnutým firewallem – uvidíte, jestli vůbec nějaký paket odejde a máte se zaměřit na to, co se děje s příchozím paketem. Nebo žádný paket neodejde (nebo na něm bude něco špatně), pak víte, že je chybně odchozí směr. Za druhé bych zkusil ponechat zapnutý firewall a vypnout jenom NAT (vyprázdnit ten POSTROUTIG chain) a opět to vyzkoušet (včetně tcpdumpu). Tím zjistíte, jestli je chyba v NATu nebo ve firewallu.
Ona tedy asi spíš bude ve firewallu, když jste „vypnul firewall“ a fungovalo to, byl pravděpodobně vypnutý i NAT, tudíž ty odchozí IP adresy jsou nastavené rovnou správně podle routovací tabulky. Ale je lepší si něco ověřit dvěma různými způsoby, než hledat chybu někde, kde není.