パケットの転送とかフィルタリングに大活躍のiptables(というかnetfilter)だが、これは結構長いこと接続を記憶する。
6to4のための転送ルールを書き間違えたときに、かなり長いことルールの更新が効かないので調べてみたらデフォルトのタイムアウトで600秒もあった。。
netfilterが記憶している接続は/proc/net/ip_conntrack等に書かれている。
iptablesのnatテーブルはこのip_conntrackのエントリを作るところまでしか面倒を見ない。一度conntrackにエントリができてしまうと、conntrackのエントリにマッチするパケットはnatテーブルを通らなくなるという絶妙な罠がある。