Heutiges Problem war, dass gesetzte DNAT/SNAT-Regeln in der nat-Table ohne Funktion blieben.
Man sah auf den eingehenden Interfaces den Verkehr, ausgehend jedoch unverändert. Der Counter der nat-Table war auch unverändert.
In der mangle-Tabelle sah man jedoch die Pakete. Laut iptables manpage passieren die Pakete die nat-Table nur, wenn nicht vorher durch conntrack eine Zuordnung hergestellt werden konnte.
Auch nach Entfernen der Conntrack-Module hatte dies jedoch keine Änderung verursacht. Ein Neustart der Box hat abgeholfen.