В примере только R - это tcp с флагом ресет, ещё и пачками подряд. Выглядит странно.
Может там помимо R какой-то флаг ещё стоит противоречивый и поэтому трансляция из conntrack не подтягивается и оно в FORWARD уходит как есть.
Или вообще это не фильтр ли по реестру РКН за бордером спуфит эти 172 адреса разрывая коннекты.
Я тут посмотрел у себя и увидел на аплинках, РТ, Мега, идёт множество входящих пакетов с bogons сетей, у меня есть публичный NTP, вот на него идёт большое кол-во обращений со всяких 192 172 10.х.х.х. Скорее всего частично неотНАТтченный трафик в каком-то соотношении, это норма для интернета.