Si tu effectues du NAT sur une connection, tout les paquets qui passent dans les deux sens (de et vers le réseau) doivent passer à travers la machine NATée, sinon ça ne fonctionnera pas correctement. En particulier, le code de suivi ré-assemble des fragments, ce qui veut dire que non seulement le suivi de connection ne sera pas valable, mais tes paquets pourraient ne pas passer du tout, comme des fragments seront retenus.