iptables miért

Sziasztok!

Adott egy tűzfal aminek a belső oldalán szerverek vannak, külső oldalán a világ.
A külső publikus ip-t a tűzfalon úgy natolom rá a belső helyihálós ip-re szerverenként.
(Portonkénti szűrés a FORWARD láncon van, itt nem releváns.)
Tulajdonképpen minden működik, a kliensek sem hisztiznek hogy valami gond lenne a tartalom eléréssel, de
vannak olyan csomagok amik a tűzfal INPUT láncára kerülnek, pedig natolódniuk kellene a PREROUTING lánc szerint.

Elég sok ilyen logolt eldobott csomag van, nagyrészt neves domainektől származók.

Szerintetek mért nem illenek rá a PREROUTING lánc megfelelő szabályára?

Iptables lista részlet:
Chain PREROUTING (policy ACCEPT 228K packets, 16M bytes)
num pkts bytes target prot opt in out source destination
10 6673 350K DNAT all -- * * 0.0.0.0/0 195.228.86.cc to:192.168.1.106
23 21860 1181K DNAT all -- * * 0.0.0.0/0 195.228.86.aa to:192.168.1.104
31 6293 353K DNAT all -- * * 0.0.0.0/0 195.228.86.bb to:192.168.1.14

Eldobott csomagok log részlet:
SRC=109.74.56.--- DST=195.228.86.aa LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=44660 DF PROTO=TCP SPT=1438 DPT=80 WINDOW=62932 RES=0x00 ACK FIN URGP=0
SRC=77.234.71.--- DST=195.228.86.aa LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=19420 DF PROTO=TCP SPT=4010 DPT=80 WINDOW=65535 RES=0x00 ACK FIN URGP=0
SRC=84.3.218.--- DST=195.228.86.aa LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=9393 DF PROTO=TCP SPT=1199 DPT=80 WINDOW=65535 RES=0x00 ACK FIN URGP=0
SRC=204.104.55.--- DST=195.228.86.bb LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=46952 PROTO=TCP SPT=63956 DPT=80 WINDOW=1032 RES=0x00 ACK FIN URGP=0
SRC=94.21.184.--- DST=195.228.86.cc LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=7841 DF PROTO=TCP SPT=1535 DPT=80 WINDOW=63347 RES=0x00 ACK FIN URGP=0
SRC=94.21.184.--- DST=195.228.86.cc LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=7842 DF PROTO=TCP SPT=1541 DPT=80 WINDOW=64380 RES=0x00 ACK FIN URGP=0